匿名制の人気 「hentai」 ポルノサイトが、110万人ぶんのユーザーデータベースを誤って公開し、誰もがメールアドレスから個人を特定できる状態にした。
Luscious.netのことは、hentaiやmangaポルノにハマっている人でなければなじみがないかもしれないが、米国で人気のウェブサイトの1つで、Alexaのランキングでトラフィックトップ5000に入っている。
あるセキュリティー研究者らがこのセキュリティー問題を発見し、露出したデータベースの詳細をTechCrunchが独占入手した。
しかし、TechCrunchは先週からサイトオーナーに接触してデータベースの安全を確保しようと試みているが未だに成功していない。TechCrunchからサイトオーナーにメールを送り(ユーザーデータの最初のレコードとして本人のメールアドレスが登録されていた)データ漏洩について公表するよう求めたが、度重なる催促にもかかわらず返信はない。我々は同サイトの連絡フォームやFacebook Messenger、LinkedInのコンタクトリクエスト、さらにはサイトの履歴データを調べてテキストメッセージも使ってオーナーに連絡を取ろうとした。
サイトのウェブホストに連絡をとったところ、データベースへのアクセスをブロックしてくれたため本件を報道することができた。
【アップデート】
本誌が記事を公開したあと初めて、サイトオーナーはメールに返信し、セキュリティー欠陥を認めた。「被害にあったユーザーには、個人メールアドレスが露出した可能性について連絡を取る予定だ」とサイトオーナーは言った。
当該データベースには、同サイトのバックエンドデータすべてが含まれていたようであり、アルバムが23万5000件、ユーザーのブログ投稿3万件、ビデオ900件、画像1970万枚などが含まれていた。
露出されたデータには、ユーザー名、ブログ投稿、フォロワー、位置情報などサイトでのユーザー行動に関するレコードもあり、ユーザーの非公開メールアドレスも入っていた。TechCrunchが調べたところ、偽アドレスでサインアップしたアカウントもあったが、多くのメールアドレスは本物で、同サイトを利用した実在の人物を特定することができた。
しかし、データベースにパスワードは設定されていない。
TechCrunchは、同サイトで新規アカウントを作成し、作ったばかりのユーザー名をデータベースで検索してみたところ、ユーザー名はほぼ瞬時に見つかり、データベースがバックアップファイルではなく、リアルタイムでアップデートされていたことがわかった。
漏洩デバイスやデータベースの検索エンジンであるShodanによると、データベースは8月4日以降露出していた。
これは、データベースにパスワードや基本的なセキュリティー措置をとらずにユーザーデータを危険に晒した企業の最新事例だ。最近では、暗号通貨ローンサイトがクレジットカード情報を露出したり、数千件の医療保険申請書が露出したり、出会い系アプリ「JCrush」のセキュリティー欠陥などが見つかっている。
関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
[原文へ]
(翻訳:Nob Takahashi / facebook )
