またもや一週間、オンラインに放置されたオープンデータベースが出現したが、この最新のケースは、ずさんなセキュリティだけでなく、一部のアプリでどれだけのデータが漏洩しているかを示している。
セキュリティ企業のKromtechは火曜日、予測キーボードアプリAI.typeが3100万人以上のユーザーから収集した577GBのデータを含む、オンラインで安全でない状態で発見されたMongoDBデータベースの詳細を公開した。
これには、氏名、メールアドレス、所在地に加え、IMSI番号とIMEI番号、IPアドレス、端末のスペックとOSの詳細、ソーシャルメディアのプロフィールや写真へのリンクが含まれていました。さらに、600万人以上のユーザーの連絡先から3億7,300万件の名前と電話番号が盗まれました。
朗報: セキュリティ保護されていない S3 バケットの検出がさらに簡単になりました
続きを読む
「理論的には、Ai.Type仮想キーボードを携帯電話にダウンロードしてインストールした人は、携帯電話のすべてのデータがオンラインで公開されていると考えるのが妥当だ」と、クロムテック・セキュリティ・センターの広報責任者、ボブ・ディアチェンコ氏は述べた。
「これは、ユーザーに関する詳細な情報を利用して詐欺やペテンを働く可能性のあるサイバー犯罪者にとって、真の危険をもたらします。消費者が、デバイスへのフルアクセスを可能にする無料または割引の製品やサービスと引き換えに、データを提供するのに本当に価値があるのかという疑問が、改めて浮上します。」
Ai.typeの創設者であるエイタン・フィトゥシ氏は、The Register紙に対し、Kromtechが問題を報告した後、MongoDBデータベースは保護されており、アーカイブには同社のデータベース情報の約半分しか含まれていなかったと語った。フィトゥシ氏によると、そこには「主に統計的な行動情報、つまりユーザーのキーボード使用パターンに関する」二次情報が含まれていたという。
「そこには機密データは一切ありません。パスワードやクレジットカード情報は一切収集・保存・送信していません」と彼は述べた。「ローカルデバイス上でも情報を取得することはありません!!! ですから、当社のキーボードを使用する人は誰も不快に思うことはなく、安心してご利用いただけます。データは完全にフラットで、個人情報は含まれません。」
何らかのデータを取り込まなければ予測キーボードを作成することはできませんが、収集された資料の範囲は一部のユーザーを不安にさせる可能性があります。言うまでもなく、これらすべてがオンラインに残されており、インターネットに接続できる人なら誰でも見つけられるという事実もあります。®
