600万人の男性会員を誇ると主張するゲイ向けのデートアプリManhunt(マンハント)は、2021年2月にアカウント用データベースがハッカーに侵入され、データが漏洩していたことを認めた。
ワシントン州検事当局に報告された内容によると、ハッカーは「Manhuntユーザーのアカウント証明書を保管していたデータベースに侵入した」とManhuntは語っている。さらに「2021年2月初旬に、1つのユーザーサブセットのユーザー名、メールアドレス、パスワードが盗まれた」という。
報告では、人が見たとしてもわからないようにするパスワードのスクランブル方法について、またスクランブルをかけていたかについては触れられていない。弱いアルゴリズムでスクランブルされたパスワードはプレーンテキストに解読される恐れがあり、悪意あるハッカーにそのアカウントへのアクセスを許してしまう。
データ漏洩の後、Manhuntは2021年3月中旬にアカウントのパスワードを強制リセットし、ユーザーに注意を呼びかけた。Manhuntは、データが盗まれたユーザーが全体の何割程度だったか、どのように漏洩したかについては明かしていないが、ワシントン州の住民7700人以上が関連していると話している。
Manhuntを代表する法律事務所ZwillGen(ズウィルジェン)の弁護士Stacey Brandenburg(ステイシー・ブランデンバーグ)氏は、Manhuntのユーザーの11パーセントが影響を受けたとメールで話してくれた。
しかしManhuntの対処には、まだ疑問が残る。同社は2021年3月「現時点では、すべてのManhuntユーザーは新しいパスワード要件に合致するパスワードに更新することが必要です」とツイートしている。ここでは、ユーザーアカウントが盗まれたことは知らせていない。
Manhuntは2001年、Jack’d(ジャックト)というゲイ向けデートアプリを提供していたOnline-Buddies Inc.(オンラインバディーズ)によってローンチされた。Jack’dは2019年にPerry Street(ペリー・ストリート)に、非公開の価格で買収された。この買収のわずか数カ月前、Jack’dはセキュリティ上の欠陥からユーザーのプライベートな写真や位置情報を公開してしまっている。
デートサイトには、極めて個人的なユーザー情報が保管されているため、悪意あるハッカーの標的にされることが多い。2015年、ユーザーの浮気を煽るデートサイトAshley Madison(アシュレイ・マディソン)がハッキングされ、ユーザーの名前、住所、メールアドレスが晒されてしまった。盗まれたデータがオンライン上で公開され、自殺に追い込まれたユーザーが数人いる。1年後、AdultFriendFinder(アダルトフレンドファインダー)がハッキングされ、4億件を超えるユーザーアカウトが晒された。
2018年には、同性デートアプリGrindr(グラインダー)がデータ分析業者2社にユーザーのHIV感染情報を渡して問題になった。
この他、セキュリティの甘さから(セキュリティがまったく存在しないこともあるが)、非常に個人的なデータが流出してしまった事件もある。2019年、中国の同姓愛の男女向け人気デートアプリRela(レラ)は、パスワードも設置しない危険な状態でサーバーを放置していたため、性的指向や住所など500万人以上のユーザーの個人情報に、誰もが自由にアクセスできるようになっていた。数カ月後、ユダヤ人向けのデートアプリJCrush(ジェイクラッシュ)は、およそ20万件のユーザー情報を公開してしまっている。
関連記事:インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ
カテゴリー:セキュリティ
タグ:Manhunt、データ漏洩、ハッキング、デートアプリ、ジェンダー
画像クレジット:TechCrunch
[原文へ]
(文:Zack Whittaker、翻訳:金井哲夫)