Comparisons Brawte nfaq 0 Comments

秘密共有アプリWhisperは、公開されたデータベースで最後に知られた場所や実際のパスワードトークンなどの秘密を共有しました。

Table of Contents

秘密共有アプリWhisperは、公開されたデータベースで最後に知られた場所や実際のパスワードトークンなどの秘密を共有しました。

公開したくない考えを共有するためのモバイル アプリ Whisper は、秘密を保持するよりも共有することに長けていることが判明し、公開されたデータベースでユーザーに関連付けられたメタデータ フィールドが 90 個も流出しました。

2012年に開始されたこのアプリは、人々が「身元やプロフィールなしで、本当の考えや感情を共有し、関係を築き、さまざまな話題について会話に参加できる」ようにすることを目的としている。

しかし、ワシントンポスト紙が報じているように、セキュリティ研究者は、9億件のユーザー記録がオンラインで公開されていることを発見し、意図的に公開されたメタデータと非公開のメタデータの両方が露出しており、アプリの匿名とされるユーザーを特定できる可能性があるという。

同社と法執行機関が通知を受けた月曜日以来ロックされている5テラバイト、75ノードのデータベースは、一部のアプリユーザーが特定され、匿名とされる投稿や、例えばフェチグループ、ヘイトグループ、自殺支援グループへの所属など、潜在的にセンシティブな団体にリンクされるリスクがある。

データがどれくらいの期間公開されていたか、また、保護される前に誰かが公開された情報をコピーしたかどうかは不明です。データにはユーザー名は含まれていませんでしたが、年齢、性別、ニックネーム、国、興味のある分野、IPアドレス、タイムゾーンなどのフィールドが含まれていました。ユーザーが投稿した画像や動画も閲覧可能でしたが、クラウドストレージバケット内の別の場所に保管されていました。

The Registerとの電話インタビューで、Twelve Security のセキュリティ コンサルタントである Dan Ehrlich 氏は、同僚の Matt Porter 氏が保護されていない Whisper ElasticSearch データベースを発見したと語った。

公開されたデータベース内のWhisperメタデータフィールドのリスト

公開されたデータベース内のWhisperメタデータフィールドのリスト

Ehrlich 氏は、Whisper が投稿で公開するメタデータ フィールドは 5 つ程度であるのに対し、ElasticSearch データベースで利用可能な投稿には、最後に確認された位置情報や実際のパスワード トークン (そのユーザーとしてログインするために使用可能) など、約 90 個のメタデータ フィールド (上記参照) が関連付けられていることに気づきました。

研究者たちはコマンドラインツールcURLを使用し、Base64エンコードされたキーとトークンをメッセージAPIエンドポイントに送信することで、まさにそれを実現しました。「どこからでも任意のユーザーとしてログインすることが可能です」とエーリッヒ氏は述べています。

記録の中には、ワシントン・ポスト紙によると、実現しなかった自殺調査のために意図された国際軍事基地のリストが含まれていた。これらの記録を位置情報データと組み合わせることで、軍人としての身元を推測できる可能性がある。ウィスパー社は2014年に投資したテンセント社と金銭的なつながりがあり、テンセント社のような中国企業が中国政府機関と協力関係にあるという報道もあることから、エーリック氏は懸念する理由があると述べた。

エーリッヒ氏によれば、このアプリは17歳以上のユーザーのみが利用できることになっているにもかかわらず、データベースにはアプリを使用する何百万人もの未成年者に関連する大量の情報が含まれているという。

収集と保管

彼はまた、Whisperが2012年以降、データを削除せずに保存していた可能性を指摘している。「すべての記録が保存されているかどうかは不明だが、圧倒的多数の記録は確実に保存されている」と説明し、「whisper-deleted.s3.amazonaws.com」という関連するAmazon S3バケットと、ユーザーが退会したグループや以前のユーザー名を保存するレコードタイプの存在を指摘した。

Whisperアプリは、ユーザーが性的捕食者である可能性をpredator_probabilityデータフィールドでスコアリングする。エーリッヒ氏が提供したデータによると、約9,000人のユーザーの確率評価は100%、さらに10,000人のユーザーの確率評価は50%だった。

レジスター紙は、ウィスパーの親会社であるメディアラボに対し、その計算方法を説明するよう求めた。ウィスパーにもコメントを求めたが、返答は得られていない。

ワシントン・ポスト紙に提出された声明の中で、同社広報担当者は、ユーザーを追跡しておらず、社内データベース(おそらく別のもの)は一般にはアクセスできないと主張した。

2014年、ガーディアン紙は、ウィスパーが追跡を拒否したユーザーも含め、ユーザーの位置情報を追跡していると報じました。当時のウィスパー編集長はガーディアン紙の報道が虚偽であると主張し、ガーディアン紙は報道の正確性を主張しました。ウィスパーは、当時上院議員だったジェイ・ロックフェラー氏(バージニア州民主党)からこの報道について問い合わせる書簡を受け取り、CEOのマイケル・ヘイワード氏が回答(PDF)し、ウィスパー編集部は解雇されました。

エーリッヒ氏は、当時のウィスパー社の説明は同社のデータ収集慣行を正確に反映していなかったと考えている。®

Comparisons

Smart Recommendations

Discover More