- Wahlap は WeChat mini プログラムエコシステムに関連する1890万件のレコードを公開している Elasticsearch インスタンスを放置していました
- データには 660万の一意の Union ID、170万の電話番号、およびターゲットとなったフィッシングと詐欺を可能にする個人情報が含まれていました
- アーカイブは開示後にロックダウンされましたが、公開された情報が流出した証拠はありません
中国のアーケード機メーカー大手 Wahlap は、巨大なユーザーデータベースをインターネット上に公開したままにしており、セキュリティ研究者からの警告により、それがどこにあるかを知っている誰もがアクセスできる状態にあったことが判明しました。Cybernews のセキュリティ研究者が警告しており、個人情報がリスクにさらされています。
Wahlap は世界最大級のアーケードメーカーの 1 つであり、Sega や Timezone などのゲーム業界の大手企業と協力しています。Wahlap WeChat mini プログラムを提供しており、これらは WeChat エコシステム内で動作する軽量アプリケーションです。
WeChat に馴染みのない方のために説明すると、WeChat は中国市場で最も人気のあるモバイルアプリの 1 つです。主にチャットアプリですが、インスタント決済から軽量ゲームまで、あらゆる種類の機能を提供しています。これらの機能は WeChat 内に表示される mini アプリの形式で提供されており、Wahlap はそのために生成されたデータを公開されたままの Elasticsearch インスタンスに収集・保存していたようです。
フィッシングと詐欺のリスク
Cybernews チームは情報を複数のカテゴリに分割しました:Wahlap メンバーデータ、ゲーム動作データ、資産データ、消費者スナップショット、およびその他のインデックスです。
合計 1890 万件のレコードがオンライン上に公開されており、Wahlap メンバーデータカテゴリが圧倒的に最大です。10GB を超える容量で、660 万の一意の Union ID、170 万の一意の電話番号、および 24,000 の生年月日と氏名が含まれています。
研究者らは、このデータが Wahlap ユーザーをプロファイリングし、高度にパーソナライズされたフィッシング攻撃と詐欺でターゲットにされる可能性があると考えています。「さらに、レコードには Wahlap エコシステム内のユーザー ID、異なるご利用可能な mini プログラムを参照し、特定のゲームの登録日が含まれていました」と Cybernews チームは述べています。これはまさに脅威アクターが信頼性を持たせるために使用できる情報です。
しかし、データが既に流出した証拠はありません。
Cybernews は Wahlap に連絡しましたが、書面での確認や謝辞は受け取りませんでしたが、その直後にアーカイブがロックダウンされたことに気づきました。
