- Cybernews が Tokee の保護されていない MongoDB が約 120 万人のユーザーデータを露出していることを発見
- リークに含まれていたのは、名前、電話番号、アバター、デバイストークン、ID、アクティビティログ、アカウントステータス。チャットログは暗号化されていました
- 開示後、Deucetek はデータベースを保護しました。悪意のあるアクセスの証拠はありませんが、ユーザーはフィッシングのリスクについて警告されています
Tokee というメッセージングアプリは、大量の機密情報を含む保護されていないデータベースを保持していており、どこを見ればよいかを知っている人に対して 100 万人以上の顧客を露出させていました。
セキュリティ研究者の Cybernews は、パスワード保護されていない MongoDB インスタンスを発見しました。これには、ユーザーの表示名、数値として保存された電話番号、プロフィールアバター、プッシュ通知に使用されるデバイストークン、ユーザー ID、アカウント作成および更新のタイムスタンプ、「最後に見た」アクティビティインジケーター、およびアカウントステータスフラグ(たとえば、プレミアムまたは非プレミアム)が含まれていました。
より深い調査により、データベースは Deucetek という米国を拠点とするソフトウェア企業に属していることが判明しました。この企業は Tokee メッセージングアプリを開発しています。
アーカイブのロック
Tokee は WhatsApp や Telegram ほど人気ではありませんが、それでも強固なユーザーベースを持っています。Android プラットフォームだけでも 100 万ダウンロード以上があります(Apple のアプリストアはダウンロード数を表示していません)。しかし、Cybernews は、このリークが約 120 万人のユーザーを露出させたと述べており、「これはおそらくアプリのユーザーベースの大多数を代表している」と述べています。
チャットログも同じデータベースに保存されていましたが、これらは暗号化されており、したがって直接的なリスクはありません。十分な計算能力を持つ誰かが現れれば、暗号化はクラックされる可能性がありますが、現在のところそれは費用効果的ではありません。それでも、データベースには深刻な害をもたらす可能性のある多くの暗号化されていない情報があります。
「同じインフラストラクチャに保存されているユーザーのチャットメッセージは、パスワードベースの OpenSSL 暗号化を使用して暗号化されているように見えますが、露出した個人データだけで重大なプライバシー、セキュリティ、および規制上のリスクが生じます」と Cybernews チームは述べました。
責任ある開示に続いて、Deucetek はデータベースをロックダウンしました。研究者は、過去にデータが悪意のある行為者によって発見された証拠がなく、データは暗号ウェブに入ったようには見えないと述べました。したがって、ユーザーは、特に Tokee または Deucetek からのものであると主張する受信メッセージに注意するよう勧められています。
