フェチ向け出会い系アプリなどから約10万人の写真や会話のスクショ画像が流出

出会い系サービスを利用する際にはユーザーの個人的な情報を扱う必要が出てくるため、データは安全に保護する必要がありますが、2015年には不倫SNSから流出した大量の個人情報がネットで公開されるという事態が起こりました。そして新たに、特定の好みを持つ人に向けた複数の出会い系サービス上でやりとりされた写真や会話のスクショが、インターネット上で一般アクセス可能になっていることを研究者が発見しています。

Report: Niche Dating Apps Expose 100,000s of Users in Massive Data Breach
https://www.vpnmentor.com/blog/report-dating-apps-leak/

VPN情報サイトvpnMentorの研究者チームの一員であるNoam Rotem氏とRan Locar氏は、若い男性を好む40歳以上の女性・通称クーガーや、クィア、フェチ、グループセックス、ヘルペス感染者といった特定の好みを持つ人をターゲットとする出会い系サイトから、10万人以上のユーザー情報が流出していることを発見しました。

調査の結果、アプリは同一の開発者によって作られており、ユーザーがアップロードした写真などは同じAmazon Web Services(AWS)アカウントで保存されていたとのこと。このため、ユーザー情報が危険にさらされていることはもちろん、複数のアプリのAWSにおける構造も明るみに出ています。

このAWSアカウントには、以下のサービスに関連したデータが保存されていました。

・3somes
・CougarD
・DADDY BEAR
・Xpal
・BBW Dating
・Casualx
・SugarD
・HerpesDating
・GHunt

それぞれのウェブサイトを見てみるとデザインが非常に似ており、同じ人物によってデザインされたことが推測できます。以下がプラスサイズの人向け出会い系サービスのBBW Datingで……

ヘルペスや性感染症を持つ人向けの出会い系サービス「HerpesDating」はこんな感じ。

アプリの運営元は中国・アメリカに所在しており、流出したデータサイズ合計は845GB、ファイル数の合計は2043万9462個で、データが漏れたユーザーはアメリカを中心に10万人以上存在するとみられています。

データの内容には、写真、プライベートチャットのスクリーンショット、送金情報、録音音声、限定的な個人識別情報が含まれます。また、データは保護されず、暗号化されていないAmazon S3バケットに保存されていました。

流出した写真は以下のようなもの。なお、プライバシーのためモザイクがかかっていますが、実際の写真に加工は施されていませんでした。

「パパ、支払ってくれてありがとう」と書かれたメッセージや……

ユーザーの顔が写った写真。

連絡先を書いたチャットメッセージ。

上半身が写った自撮り写真。

「トイレの水を飲むのに忙しい」と書かれたメッセージ。

送金したことを示すスクリーンショット。

研究者がデータ流出に気づいたのは2020年5月24日。詳しい調査を行った後に、研究者は翌26日に出会い系サービス「3somes」に連絡し、S3バケットから3somesの情報が漏れていること、また姉妹会社のデータとみられるものも同じ状況にあることを伝えました。27日には3somesは返信を行い、同日中に対策を取ったとのこと。

出会い系アプリの情報が流出した場合、ユーザーは悪意あるハッカーに利用され、さまざまな形の攻撃を受ける可能性があります。例えば、ハッカーが流出画像などを利用すれば、フィッシング詐欺を行う際の効果的な偽プロファイルを作ることができます。また今回流出した個人識別情報は限定的だったものの、これを利用し、「アプリ利用者であることを知人などに公開する」と脅迫されることも考えられます。

このデータ流出を受けて、研究者はアプリ開発者に対し、「サーバーを保護すること」「適切なアクセスルールを実装すること」「認証を必要としないシステムをインターネット上に公開しないこと」を強調。またユーザーに対しては、「心配がある人は開発者に連絡し、データを保護するために実行しているプロセスを確認すること」を推奨しています。