英国の研究者、Robert Wigginsが発見したところによると、TeenSafeのサーバー2台が侵入され、同社の監視サービスを利用している一部ユーザーのパスワードと個人情報が漏洩した。
TeenSafeは、10代の子を持つ親に、子供のテキストメッセージや通話、ウェブ履歴、位置情報、アプリのダウンロードなどを監視できるようにして、子供たちを守るためのサービスだ。データ漏洩を最初に報じたのはZDNetだった。
記事によると、TeenSafeは、同社がAWS上で保有するサーバーのうち2台を、誰でもアクセスできる状態に放置していた。しかも漏洩したデータベースには、親のメールアドレス、子供のApple IDメールアドレス、デバイス名、デバイス固有ID、および子供のApple IDの平文パスワードが保管されていた。
つまり…ほぼすべてだ。
TeenSafeでは、親が行動を監視できるように、ティーンエージャーが2要素認証を利用しないよう要求しているため、こうして個人情報が暴露された今、悪意のある侵入者に対していっそう脆弱だ。
TeenSafeは自社ウェブ上で、データは暗号化されているため不正侵入された際にもアクセス不能であると主張している。
ZDNetによると、サーバーには過去3カ月以内の顧客レコード1万200件以上が保存されていた。一部のレコードは複製であり、サーバーの一つにはテストデータが保存されていたらしいとも記事は伝えている。
まだ見つかっていない脆弱なサーバーがほかにあるのかどうかも明らかになっていない。
TeenSafeによると、100万組以上の親が同社のプラットフォームを利用している。
「当社サーバーの一つを公開中止とし、影響を受ける可能性のある顧客に対して警告を開始した」と日曜日(米国時間5/20)にTeenSafe広報担当者がZDNetに伝えた。
本誌はTeenSafeと直接接触していおり、情報が入り次第続報の予定。
[原文へ]
(翻訳:Nob Takahashi / facebook )