セキュリティ上の欠陥で出会い系アプリGrindrのアカウントを一時的に誰でも乗っ取ることできた

ゲイ、バイセクシャル、トランスジェンダー、クィア向けの世界最大級の出会い系・ソーシャルネットワーキングアプリ「Grindr」は、メールアドレスだけを使って誰でもユーザーのアカウントを乗っ取り、支配することができるセキュリティ上の脆弱性を修正した。

フランスのセキュリティ研究者であるWassime Bouimadaghene(ワシメ・ブイマダジェンヌ)氏は、この脆弱性を発見し、Grindrに問題を報告した。しかし返事がなかったため、同氏はセキュリティ専門家のTroy Hunt(トロイ・ハント)氏経由で脆弱性の詳細を伝えた。すると脆弱性はしばらくして修正された。

ハント氏は、Scott Helme(スコット・ヘルム)氏が設定したテストアカウントの助けを借て脆弱性をテストして確認し、その結果をTechCrunchと共有した。

ブイマダジェンヌ氏は、アプリがアカウントのパスワードリセットを処理する方法に脆弱性を発見した。

通常パスワードをリセットするには、Grindrはユーザーにアカウントのパスワードリセットトークンを含むクリック可能なリンクを添付した電子メールを送信する。該当リンクがクリックされると、ユーザーはパスワードを変更することができ、アカウントへの復帰が許可される。

しかし同氏は、Grindrのパスワードリセットページが、パスワードリセットトークンをブラウザに漏らしていることを発見した。つまり、ユーザーの登録メールアドレスを知っている人なら誰でもパスワードリセットを発動させることができ、場所さえわかればブラウザからパスワードリセットトークンを集めることができたのだ。

ユーザーの受信箱にしか送られないはずのGrindrアカウントのパスワードリセットに使われていたシークレットトークンが、ブラウザに流出していた(画像クレジット:Troy Hunt)

Grindrがパスワードリセットのために生成するクリック可能なリンクは同じようにフォーマットされている。つまり、悪意のあるユーザーがブラウザから流出したパスワードリセットトークンを使用して、独自のクリック可能なパスワードリセットリンク(ユーザーの受信トレイに送信されたリンクと同じもの)を簡単に作成できることを意味する。

悪意のあるユーザーはこのリンクを使って、アカウント所有者のパスワードをリセットし、アカウントの写真、メッセージ、性的指向、HIVの状態、最後の検査日など、アカウントに保存されている個人データにアクセスすることができる。

「これは、私が見た中で最も基本的なアカウント乗っ取りのテクニックの1つです」とハント氏は指摘している。

流出したパスワードリセットトークンを使えば、攻撃者はユーザーのパスワードをリセットし、アカウントを乗っ取り、個人データにアクセスすることができる(画像クレジット:Troy Hunt)

Grindrの最高執行責任者を務めるRick Marini(リック・マリーニ)氏は声明で「脆弱性を特定した研究者に感謝しています。報告された問題は修正されています。ありがたいことに、悪意のある当事者に悪用される前に問題に対処できたと考えています」とTechCrunchに語った。

「当社のサービスの安全性とセキュリティを向上させる取り組みの一環として、当社は大手セキュリティ企業と提携し、セキュリティ研究者がこのような問題を報告する能力を簡素化し、向上させています。さらに、今後もサービスの安全性を維持するために、研究者の皆様にさらなるインセンティブを提供するため、新しいバグバウンティプログラムを近日中に発表する予定です」と同社は述べている。

Grindrのユーザーは約2700万人で、毎日約300万人がこのアプリを利用している。Grindrは今年初めに元中国の所有者である北京昆侖(Beijing Kunlun)によって、ロサンゼルスを拠点とする会社に売却された。同社の中国での所有が、国家安全保障上の脅威となっているという非難を受けてのことだ。

昨年Grindrは、中国の所有権下にある間、北京のエンジニアにプライベートメッセージやHIVの状態を含む何百万人もの米国ユーザーの個人データへのアクセスを許可したと報告されていた。

カテゴリー:セキュリティー
タグ:Grindr

画像クレジット:SOPA Images / Getty Images

原文へ

(翻訳:TechCrunch Japan)

 

約2700万人分のユーザーデータが米国の安全保障上の懸念だった出会い系アプリGrindrを中国企業が売却

中国のゲーム大手Beijing Kunlun Techは、人気の同性愛者向け出会い系アプリのGrindrを約6億800万ドル(約640億円)で売却することに合意し、中国企業所有の下での4年間におよぶ騒動に終止符を打った。

ロイターの報道によると、Beijing Kunlun TechはGrindrの株式の98%を、米国企業のSan Vicente Acquisition Partnersに売却したという。

もともとロサンゼルスで開発されたこのアプリは、2016年にBeijing Kunlun Techに9300万ドル(約98億円)で買収された後、安全保障上の懸念を引き起こした。その後、米国政府の国家安全保障委員会に相当する対米外国投資委員会(CFIUS)がこの買収を精査した結果、Grindrによるオーナーシップが安全保障上の脅威になっていると、親会社に伝えたという

CFIUSは、アプリ内の約2700万人ものユーザーデータが中国政府によって使用される可能性があるとの懸念を表明していた。2019年の報道によると、中国企業がGrindrを所有している期間中に、北京のエンジニアが数百万人におよぶ米国ユーザーの個人情報にアクセスすることを許可し、そのなかにはプライベートなメッセージやHIVに関する情報も含まれていたという。

Beijing Kunlun Techは、6月までにアプリを売却することで合意していた。

買収しおたSan Vicente Acquisitionについてはほとんど知られていないが、この取引に詳しい人物によると、同社は米国人によって完全に所有され管理されている投資家グループで構成されているという。ロイターによると、投資家の1人は中国の検索大手Baiduの元幹部であるJames Lu(ジェームス・リー)氏だとのことだ。

なお、買収には株主の承認とCFIUSによる審査が条件となっている。

Grindrの広報担当者は、この件に関するコメントを避けている。

[原文へ]

(翻訳:塚本直樹 Twitter