人気の「キャムガール」(Camgirl、ウェブカムで撮った性的映像を流す女性)サイトを複数運営する企業が数百万件のセックスワーカーやサイト利用者の個人情報を漏洩した。バックエンドデータベースを非保護状態にしておいたためだ。
バルセロナ拠点のVTS Mediaが運営する問題のサイトは、amateur.tv、webcampornoxxx.net、 placercams.comの3カ所。Alexaのトラフィックランキングによるとamateur.tvはスペインで最大級の人気を持つサイトだ。
数週間にわたりパスワード保護なしに放置されていたそのデータベースには、サイトのアクティビティを記録した日々のログが数カ月分保管されていた。ログには、ユーザーがいつログインしたかなどの詳細な情報が、ユーザー名と共に、時には個人を特定可能なユーザーエージェントやIPアドレスと共に記録されていた。ユーザー同士の個別チャットや、ユーザーが様々なサイトから受けとったプロモーションメールも入っていた。さらには失敗したログインのユーザー名やパスワードが平文で保存されていた。それらの個人情報をテストすることは違法行為にあたるため本誌では行っていない。
流出したデータには、ユーザーが見たりレンタルしたビデオのタイトルも含まれており、個人の趣味や性的嗜好を暴露することになった。全体を通して、ログにはログインしたユーザー名、場所、多くのケースでメールアドレスなどの個人を特定できる情報が含まれているため、リアル世界の個人情報とのマッチングが可能なものもある。
影響を受けたのはユーザーだけではない。性的コンテンツを配信していた「キャムガール」たちのアカウント情報も暴露された。問題のデータベースは先週閉鎖され、本誌はこの件を発表することが可能になった。
サイバーセキュリティーとインターネットの自由の会社、Condition:Blackの研究者らが露出されたデータベースを発見した。「これは技術面からもコンプライアンスの観点からも深刻な障害である」とCondition:Blackのファウンダー、John Wethington(ジョン・ウェシントン)氏は語った。サイトのプライバシー規約を見ても、ユーザーは自分たちの行動をこのような詳細レベルで監視されているとは考えていなかったはずだ。
「ユーザーは自分のデータの漏洩には常に注意を払っているべきだが、それが人生を変える可能性がある場合は特にそうだ」とウェシントン氏は言う。
企業が不注意でシステムをアクセス可能にしてしまうデータ暴露は、近年ますます増えている。出会い系サイトは中でも特に繊細なデータを扱っている。今年、グループ・デーティングサイトの3Funは 100万人分以上のユーザーデータを露出し、それを見た研究者はユーザーのリアルタイムの位置情報を本人の許可なくアクセスすることができた。こうしたセキュリティー欠陥はユーザーを著しく傷つける可能性があり、個人の性的な出会いや嗜好という本人だけが知っているべき情報を晒してしまう。2016年に不倫専門サイトのAshley Madisonがハックされた事件の後には、家庭崩壊や自殺が複数報告された。
週末VTS Mediaに送ったメールは不達で戻っておりコメント要求はできていない。運営会社もサーバーも欧州にあることから、漏洩した性的嗜好情報は、GDPR規則で通常以上の保護が必要な「特殊カテゴリー」に該当する。企業はGDPR違反の罰金として年間売上の最大4%を支払う可能性がある。スペインのデータ保護期間(AEPD)は、時間外のコメント要求に対して返信していない。
関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
[原文へ]
(翻訳:Nob Takahashi / facebook)