人気のセクスティング(性的メッセージ交換)ウェブサイトが、同サイトで報酬を得ているモデルやセックスワーカー数千人の写真入りIDを流出させた。
米国アリゾナ州拠点のアダルトサイトであるSexPantherは、流出したAWSのストレージバケットに1万1000件以上の個人情報を登録していた。そこにはパスポート、運転免許証、社会保障番号などがパスワードなしで保管されていた。同社によると、これらのデータはユーザーと対話するモデルの年齢確認に使用されていた。露出した個人情報データの大部分には、氏名、自宅住所、生年月日、バイオメトリクス、写真などが含まれている。ほとんどのデータは米国内のモデルのものだが、カナダ、インド、英国から登録されたものもある。
このサイトでは、ユーザーとメッセージや写真、ビデオなどヌードを含む性的コンテンツを交換することで、モデルやセックスワーカーが金銭を得る手段を提供している。露出したストレージバケットには、ほかにもサイトで交換された写真やビデオ10万件以上が保存されていた。
ストレージバケットの所有者が誰であるかはすぐにはわからなかった。TechCrunchは英国拠点の侵入テスト会社で漏洩データの発見や識別の経験をもつFidus Information Security(フィドゥス・インフォメーション・セキュリティ)に協力を求めた。Fidusの調査員らは、露出したデータがSexPantherのものであることを示す証拠を直ちに見つけた。
SexPantherの運用者であるAlexander Guizzetti(アレクサンダー・ギゼッティ)氏にデータの露出を通知してから1時間後、問題のストレージバケットはオフラインになった。「SexPantherは本件をセキュリティー部門および法律部門に伝えて調査を進めている。このような事態を極めて重く受け止めている」とギゼッティ氏はメールで回答したが、ストレージバケットが彼の会社の所有であるかどうかは明確に答えなかった。漏洩データを公開データと突き合わせたところ、本誌は本件で個人情報が露出したモデル数人と連絡を取ることができた。
「確かに私が送ったものです」と、一人のモデルが露出した自身の運転免許証について話した(データの秘密性を鑑み、彼女の名前を公開しないことにTechCrunchは同意した)。問題のバケットにあった彼女の運転免許証の写真を見せたところ、たしかに自分のものだが載っている情報はすでに最新のものではないと語った。「本当の情報を登録した人たちのことを思うと本当に心配です」と彼女は語った。
このわずか1週間前、アダルトウェブカム・ストリーミングサイトのPussyCashで、セックスワーカーの極めて秘密性の高い個人情報が同じように露出していたことを調査会社が発見した。そこでも85万件以上のデータが、保護されていないストレージバケットに無防備な状態で保存されていた。
関連記事
- 人気のGPSトラッカーから位置情報や周囲の音が漏れる欠陥が見つかった
- A Sprint contractor left thousands of US cell phone bills on the internet by mistake
- 米国で出生証明書の申請データ75万件が流出
- Tuft & Needle exposed thousands of customer shipping labels
- 「マジック・ザ・ギャザリング」のプレーヤー45万人ぶんの情報が漏洩
[原文へ]
(翻訳:Nob Takahashi / facebook )