みなさん、こんばんは。
この記事は、2022年7月18日にJoshua Long 氏によって Mac Security Blog に投稿されたポストを報告するものですが、その内容には私も驚きました。
https://www.intego.com/mac-security-blog/author/joshlong/
Duolingoは人気の高い言語学習アプリであると共に7,400万の月間アクティブユーザを持つサイトでもあります。同社は最近のデータ漏洩により、260万のユーザの電子メールアドレスとその他の情報を露出させてしまいました。
今回は、この件について分かっている事を紹介します。
Duolingoのユーザデータ漏洩はいつ起きたのか
2023年1月にハッキングフォーラムのユーザが同サービスの260万のユーザの電子メールアドレスを持っており、それを$1,500あるいは最も高い付け値で販売すると表明しました。
https://twitter.com/FalconFeedsio/status/1617735519194214413
Duolingのデータ漏洩で露出した情報
電子メールアドレスと共に、他のデータも漏洩しています。漏洩したデータには、ユーザの本名、ユーザ名、アカウントアバター、バイオ、そして言語が含まれているようです。
さらにその電子メールアドレスが確認されているか、FacebookあるいはGoogleアカウントに接続されているかの情報も含まれているようです。
幸運にも、漏洩したデータにパスワードは含まれていません。
漏洩したデータについて書き込まれたのと同じ日に、セキュリティニュースサイトであるThe RecordがDuolingoに連絡をとりました(https://therecord.media/duolingo-investigating-dark-web-post-offering-data-from-2-6-million-accounts)。
同社の回答は、次のようなものでした:
「こうしたデータは、公開されているプロフィール情報をデータスクレーピングすることで抽出されています…」
「データ漏洩あるいはハッキングがあったわけではありません。弊社ではデータのプライバシーおよびセキュリティを重視しており、弊社の学習者を保護するためにさらなる対応が必要かどうかを判断するために調査を続けています。」
Duolingのデータ漏洩の問題が広く露出して再浮上
8月21日に著名なマルウェアリポジトリであるvx-undergroundのX(Twitter)アカウントが8月21日の侵害について投稿しました(https://twitter.com/vxunderground/status/1693742275145150927)。この投稿では、Duolingoのアカウント情報は“Duolingo APIのバグ”を介して取得されたとしています。
フォロワーの一人が、このAPIバグはすでに知られている不具合であると返信しました(https://twitter.com/bouddddddddddda/status/1693748077511721125)。Duolingoに登録されている電子メールアドレスを知っていれば、誰でもサイトに対してクエリ(データの問い合わせ)をするだけでこうした情報について知ることができるというのです。
多分、これが漏洩者が当初の260万のアカウント情報を取得した方法でしょう。この漏洩者が手元の電子メールアドレスに関する数百万の問い合わせをDuolingoに送り、Duolingoのサーバが一致したデータを返信してきたのだと考えられます。
セキュリティニュースサイト、BleepingComputer( https://www.bleepingcomputer.com/news/security/scraped-data-of-26-million-duolingo-users-released-on-hacking-forum/ )では、vx-undergroundは現在では完全に公開されている1月に漏洩したとされるものと同じデータを別のハッキングフォーラムで金銭のやり取りもなく見つけたとしています。
8月22日に、BleepingComputerは同じAPIが今でも1月に漏洩したデータを取得するために悪用されたのと同じスクレーピング攻撃の対象となり得ることを確認しました。このニュースサイトによれば、DuolingoになぜこのAPIがそのままなのか問い合わせたが同社からの回答はまだないということです。
最後に、8月23日に著名なデータ漏洩情報サイトであるHave I Been Pwnedがそのデータベースにこの260万以上の電子メールアドレスを追加しました( https://haveibeenpwned.com/PwnedWebsites#Duolingo )。Duolingoの漏洩で(あるいは700におよぶ他のデータ漏洩またはデータ侵害で)自分の電子メールアドレスが漏洩していないか確認したければ、該当アドレスをhaveibeenpwned.com( https://haveibeenpwned.com/ )で検索するだけでわかります。
このようなデータ漏洩による被害を最小限で食い止めるには
残念なことに、企業が顧客情報を露出させてしまうことはままあり、しかもその問題をあまり重要視しないということがあります。
ユーザがこうした漏洩で自身の情報の露出を防ぐ方法の一つは、各サービスごとに専用の電子メールアドレスを使うことです。
ありがたいことに、これは思ったほど面倒臭くありません。複数の電子メールアカウントを作成する必要もなく、それぞれ個別に確認する必要もありません。匿名電子メール転送を提供する主なサービスが、少なくとも2つあります。
一つ目は、月間130円から使えてiOSおよびmacOSに内蔵されているAppleのiCloud+サービスの一部であるメールを非公開です。 二つ目はちょっと使い方が面倒ですが無料のDuckDuckGo Email Protectionです。メールを非公開とDuckDuckGo Email Protectionを比較した弊社の記事( https://www.intego.com/mac-security-blog/which-is-better-apples-hide-my-email-or-duckduckgo-email-protection/ )も参照ください。
また、Intego Mac Podcastのエピソード255( https://podcast.intego.com/255 )でもこれらの電子メールプライバシーサービスについて触れています。
■お使いのMacは安全ですか?
Mac用のセキュリティソリューションを検討しているなら、ACT2の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:
https://www.act2.com/intego
0 件のコメント:
コメントを投稿