人気の位置情報追跡アプリ「Family Locator」(日本でのアプリ名は「ファミリーロケータ」)から、数週間にわたって23万8千人以上のユーザーの位置情報がリアルタイムで流出していた。これはアプリ開発者がサーバにパスワードをかけずに公開していたことによる。
このアプリはオーストラリアのソフトウェアハウス、React Appsが開発しているもので、たとえば配偶者同士で居場所を知りたいときや保護者が子供の居場所を知りたいときなどに、位置情報をリアルタイムでお互いに追跡することができる。ユーザーがジオフェンスの通知を設定すれば、家族が学校や職場といった特定の場所に入ったりそこから離れたりしたときに通知を送信することもできる。
ところがバックエンドのMongoDBデータベースは保護されておらず、どこを見ればいいかがわかれば誰でもアクセスできる状態になっていた。
セキュリティ研究者でNPOのGDI FoundationのメンバーであるSanyam Jain氏がこのデータベースを見つけ、状況をTechCrunchに報告した。
データベースを確認したところによると、各アカウントのレコードにはユーザー名、メールアドレス、プロフィールの写真、平文のパスワードが含まれていた。アカウントには本人とその家族のリアルタイムの位置情報もわずか数フィートの精度で保管されていた。ジオフェンスを設定していたユーザーではその座標もデータベースに保管され、ジオフェンスに付けた「自宅」や「職場」などの名前も含まれていた。
これらのデータはいずれも暗号化されていなかった。
TechCrunchでは、このアプリをダウンロードし、ダミーのメールアドレスでサインアップして、データベースの内容を検証した。すると数秒以内で、リアルタイムの位置情報が正確な座標としてデータベースに現れた。
TechCrunchはこのアプリのユーザーの1人を無作為に選び、連絡を取った。相手はこの状況にひどく驚きながらも、TechCrunchに対し、レコードに記録されている座標が正確であることを認めた。フロリダにいるこのユーザーは匿名を条件に、データベースの情報が勤務先の位置情報であると話した。さらにアプリに記録されている家族は近くの高校に通う自分の子供であることも認めた。
我々が調査したほかのいくつかのレコードにも、保護者と子供のリアルタイムの位置情報が含まれていた。
TechCrunchはアプリを開発したReact Appsに1週間にわたって連絡を試みたが、連絡はとれなかった。同社のWebサイトには連絡先の情報がなく、必要最低限のプライバシーポリシーも掲載されていなかった。WebサイトのWHOISレコードはプライバシー保護がかかっており、オーナーのメールアドレスは公表されていなかった。我々はオーストラリア証券投資委員会から同社の事業記録を購入したが、「Sandip Mann Singh」という同社のオーナーの名前がわかっただけで、連絡先はわからなかった。同社のフィードバック用フォームから何度かメッセージを送信したが、返信はなかった。
米国時間3月22日、このデータベースがAzureクラウド上でホストされているため、TechCrunchはマイクロソフトに対し開発者に連絡するよう依頼した。数時間後、データベースはようやくオフラインになった。
データベースが公開された状態になっていた期間は正確にはわかっていない。またSingh氏は情報流出を認めていない。
[原文へ]
(翻訳:Kaori Koyama)