最近修正された クリエーターをサポートする人気プラットフォームのセキュリティ バグは、プライバシー重視のプラットフォームでさえクリエーターの個人情報を危険にさらす可能性があることを示しています。
2021 年に設立された Throne は、「ファンとあなたの間の仲介者として機能する、完全に安全なコンシェルジュ ウィッシュリスト サービス」を自負しています。 Throne は、クリエイターの自宅住所のプライバシーを保護しながら、毎日数千のウィッシュ リスト アイテムを発送することで、20 万人以上のクリエイターをサポートしていると主張しています。
ストリーマーやゲーマーなどのオンライン クリエーターが、サポーターが購入できるギフトのウィッシュ リストを公開し、Throne が仲介者として機能するという考えです。 「あなたのファンはギフトの代金を支払い、残りは私たちが処理します」とそのウェブサイトは読みます. 「支払いが処理され、アイテムが送信され、最も重要なこととして、あなたの個人情報が非公開であることを確認します。」
しかし、善意のハッカーのグループが、その主張を覆す脆弱性を発見し、その作成者ユーザーのプライベート ホーム アドレスを公開しました。
入力 ツェルフォルシュング、最新の発見の背後にあるドイツのセキュリティ研究者集団。 Elon Musk の新しい所有権の下で Twitter からの脱出で人気を博した、ソーシャル メディアの代替手段である Hive の主要なセキュリティ バグを発見して公開した 12 月の集団を覚えているかもしれません。 脆弱性を修正するために Hive が一時的にシャットダウンする Zerforschung によって発見された、これにより、誰でも他の人の投稿を変更したり、他の人のプライベートメッセージにアクセスしたりできました.
Zerforschung 氏は TechCrunch に、Google の Firebase でホストされているデータを保存するために同社がデータベースをセットアップする方法に脆弱性を発見したと語った。 研究者によると、データベースは、パスワードを必要とせずにアカウントに侵入するために使用できる、データベースからの Amazon アカウントのセッション Cookie など、インターネット上の誰でも内部のデータにアクセスできるように誤って構成されていました。
セッション Cookie は、コンピューターまたはデバイスに常駐する小さなコードで、パスワードを繰り返し再入力したり、2 要素認証でサインインしたりすることなく、ユーザーがアプリや Web サイトにログインし続けるようにします。 セッション Cookie はユーザーのログイン状態を維持するため、ユーザーのようにログインするために使用できるため、ハッカーにとって魅力的なターゲットになる可能性があります。 これにより、ユーザー以外の誰かがセッション Cookie を悪用していることを検出することも難しくなります。
これらの Amazon セッション Cookie を使用すると、セキュリティ研究者は、パスワードを必要とせずに、クリエイターのウィッシュ リストからギフトを注文して送信するために使用される Throne の Amazon アカウントにアクセスできることを発見しました。 研究者によると、同じセッション Cookie (事実上、Throne の Amazon アカウントの鍵) を持っている人なら誰でも、ログインして、何千もの注文とその作成者の名前と住所を調べることができたという。
Zerforschung は先週、TechCrunch とのビデオ通話でバグを実演し、その発見を検証することができました。 研究者は、過去数か月間に Throne の Amazon アカウントを通じて行われた数千件の注文を示し、Throne が保護すると主張したクリエイターの名前と住所が公開されたことを示しました。
研究者集団は、同日遅くにバグを Throne に報告しました。 Throne はその直後にバグを修正し、セキュリティの失効を確認しました。 ブログ投稿 今週公開され、Zerforschung の調査結果に感謝します。
「3 月下旬に、Firestore のルールが誤って構成されたバージョンの Throne が出荷されました。 これにより、セキュリティ研究者は、不正防止目的で保持しているブロックされた IP アドレスや、マーチャント アカウントの小さなサブセットのセッション cookie など、利用できないはずのデータを読み取ることができました」と Throne 氏は述べています。
しかし、会社には疑問が残ります。 Throne は、ネットワーク ログを使用して、「リスクはなく、未知の人物がデータを閲覧したことはありません」と判断したと述べています。 Zerforschung はこの主張に異議を唱えている。Throne は、研究者の活動を除外しながら、会社が事件を調査するために使用できる IP アドレスを集団に尋ねなかったからである.
ログは、誰がどこからいつログインしたかなどの内部イベントを追跡するため、重要です。 理論的には、Zerforschung のようなセキュリティ研究者がバグを発見した場合、悪意のある攻撃者もそれを発見した可能性があります。 他の誰かが Throne のデータにアクセスまたは盗み出したかどうか、または Throne がどのデータが表示されたかを判断する技術的能力を持っているかどうかは明らかではありません。
Throne はブログ投稿で、名前のないドイツのデータ プライバシー専門家が「データのリスクはないと確認した」と主張しましたが、Zerforschung がそれを証明したため、これは意味がありません。
コメントを求められたとき、Throne の共同創設者である Patrice Becker は、定型的な発言で Throne のブログ投稿の多くを繰り返しましたが、具体的な質問への回答や、ブログ投稿から疑わしいデータ プライバシー専門家の名前を提供することを拒否しました。
ベッカーは、これについて尋ねられたとき、Zerforschung の調査結果または作成者の自宅住所の暴露に異議を唱えませんでした。