グループアプリの「Rallyhood」から10年ぶんの個人データを流出

Rallyhoodは、データは「機密で安全です」と言う。しかし、時としてそうではないことがある。グループによるコミュニケーションを支援するためのこのソーシャルネットワークが、ユーザーデータを保存しているクラウドストレージバケットを露出状態にしていたのだ。Amazon Web Services(AWS)がホストしているそのバケットは、パスワードによる保護はなく、容易に想像できるウェブアドレスを知るものなら誰でも、10年ぶんのユーザーデータのファイルをアクセスできた。

Rallyhoodは、ユーザーにはガールスカウトおよびボーイスカウトの隊や慈善団体のKomen、Habiatat for Humanitites、あるいはYMCA関連団体などがいると誇らしげに語っている。ほかにも、地域のバンド、スポーツチーム、芸術クラブ、組織委員会など何千もの小グループが同社のサービスを利用している。昨年Verizon(TechCrunchの親会社でもある)が、Yahoo Groupsの閉鎖を発表したとき、RallyhoodはYahoo Groupsからのメンバー移行を受け行けると宣言し、多くのユーザーが同サイトに群がった。

問題のバケットには、2011年から先月までのグループのデータが入っていた。アップロードされたデータの総量は4.1TBに上り、これはユーザーファイル数百万件に相当する。

TechCrunchが確認したところ、一部のファイルにはシェアされたパスワードのリストや契約書、その他の承認書類や合意書などの機密性の高いデータが含まれていた。守秘義務契約書類など、公開されることを意図していない文書もあった。TechCrunchは、情報が露出したユーザーの中で連絡先情報のわかったものついて連絡をとり、データの信憑性を確認した。

バケットを発見したのは、Timelessというハンドル名のセキュリティー研究者で、バケットやファイルを保護できるように、TechCrunchに通知した。Rallyhoodの技術責任者であるChirs Alderson(クリス・アルダーソン)氏に連絡を取ったところ、当初そのバケットは「テスト用」でありユーザーデータはすべて「セキュリティーの高いバケット」に保管されると言っていた。しかし後に、移行プロジェクトの期間中に「誤ってパーミッションが開放されていた期間が短時間あった」ことを認めた。

Rallyhoodがこのセキュリティー過誤についてユーザーに通知するつもりがあるかどうかはわかっていない。本稿執筆時点で、Rallyhoodはこの事案について、同社ウェブサイトでもソーシャルメディアのプロフィールでも一切言及していない。

関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

[原文へ]

(翻訳:Nob Takahashi / facebook