2021/10/07

OnlyFansの元従業員が退職後も機密情報にアクセス可能であることが判明 / Former OnlyFans Employees Could Access Users’ and Models’ Personal Information



OnlyFansのサポートスタッフだった一部の従業員は、セックスワーカーがヌードやポルノビデオを販売するために利用していた会社で働くのをやめた後も、財務上の機密情報や個人情報を含むユーザーのデータにアクセスしていました。

報復を恐れて匿名を希望したOnlyFansの元従業員によると、一部の元従業員は、OnlyFansを含む多くの企業で使用されている人気のカスタマーサービスソフトウェアであるZendeskにアクセスし、カスタマーサポートチケットの追跡や対応を行っていたことが、退職後も判明しました。OnlyFansは、コンテンツを投稿するユーザーと、そのコンテンツを見るためにお金を払っているユーザーの両方に対応するためにZendeskを使用しています。マザーボードは、複数の元従業員のアクセスにより、これを裏付けることができました。

この情報源とMotherboardに語ったOnlyFansのユーザーによると、ユーザーが助けを求めている内容に応じて、サポートチケットには、クレジットカード情報、運転免許証、パスポート、フルネーム、住所、銀行取引明細書、OnlyFansでいくら稼いだか、いくら使ったか、クリエイターが顔の横にIDをかざして確認するKYC(Know Your Customer)セルフィー、モデルリリースフォームなどが含まれていることがあるそうです。   

この情報源は、彼らがOnlyFansでの仕事をやめた後も、まだアクセスできることをMotherboardに示しました。

アカウント設定時に受け取ったサポートメールによると、クリエイターがプロフィールを設定する際、OnlyFansのサポートは「認証プロセスは極秘であり、この情報は誰とも共有されません」とユーザーに保証しています。 

マザーボードは、OnlyFansの一般的なメディアリクエスト用メールアドレスと特定の担当者に複数回メールを送り、OnlyFansの2つのTwitterアカウントにダイレクトメッセージを送りましたが、非常に深刻なセキュリティリスクの可能性についてのコメントを求めたところ、同社からの回答はありませんでした。

元従業員にユーザーの個人情報へのアクセスを許可することは、どのようなサービスを利用しているユーザーにとってもセキュリティ上のリスクとなりますが、特にセックスワーカーや風俗嬢は、その職業にまつわる悪いイメージのために標的とされることが多いため、リスクが高いと言えます。また、OnlyFansを利用してコンテンツにお金を払っているだけの人にとっても、個人情報を漏らすことは、その情報が脅迫に使われる可能性があるため、特に危険です。マザーボードは、ハイテク企業の従業員がデータへの特権的アクセスを利用して、ユーザーや同僚を不適切にスパイする「インサイダー脅威」について繰り返し報じてきた。これは、FacebookやSnapchat、ハッキング企業のNSO Group、Amazon傘下の監視会社Ringなど、多くの企業で起きている。特に、元従業員が機密データへの特権的なアクセス権を保持していることは危険です。

2016年には、Brazersの80万アカウントがデータ流出しました。2019年には、ポルノサイト「Lucious」の100万人以上のユーザーの個人情報がセキュリティエクスプロイトで流出しました。さらに2020年には、ImLiveを含む複数のアダルトサイトを所有するPussyCash.comの脆弱性から、モデルの個人情報のデータ流出が研究者によって発見されました。