人気の写真印刷アプリ[PhotoSquaredアプリからユーザー写真と出荷情報が流出

人気の写真印刷アプリのPhotoSquaredから、何千もの顧客の写真や住所、その他のの詳細が流出した。今回のデータ流出では、少なくとも1万件の出荷情報がAmazon Web Services(AWS)のパブリックストレージに格納されていた。ストレージのバケットにはパスワードが利用されておらず、簡単に推測できるウェブアドレスを知っている人なら、誰でも顧客データにアクセスできた。これらのAWSストレージのバケットは設定が間違っており、「プライベート」ではなく「パブリック」に設定されていることがあまりにも多い。

流出したデータには、ユーザーがアップロードした高解像度写真と、2016年以降に作成された出荷ラベルが含まれており、流出の発覚日までデータは更新されていた。Google Playのランキングによると、同アプリのユーザーは10万人を超えるという。

どれだけの期間、ストレージのバケットが公開されていたのかは不明だ。

公開されていたユーザーの写真と出荷情報の一例。公開されていたストレージのバケットには数千の出荷情報が収納されていた。

セキュリティ研究者らは、公開されたバケットの名前をTechCrunchに提供した。我々はいくつかの出荷ラベルを既存の公開データと照合し、米国時間2月12日にPhotoSquaredに連絡し、データ流出について警告した。

PhotoSquaredを所有するStrategic Factoryの最高経営責任者(CEO)であるKeith Miller(キース・ミラー)氏は、データがすでに非公開にされたことを認めた。しかしMiller氏は、データ侵害通知法に基づいて、顧客や規制当局に通知するかどうかについての明言を避けた。

この記事の執筆時点では、PhotoSquaredは同社のウェブサイトやソーシャルメディアアカウントにて、セキュリティ上の不備について言及していない。

[原文へ]

(翻訳:塚本直樹 Twitter

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。