米国時間7月24日、株取引アプリのRobinhood(ロビンフッド)が、一部のユーザーのパスワードを含む資格情報を社内システムに平文で保存していたことを明らかにした。これはきわめて深刻なセキュリティ上の誤りだが、同社はデータに不適切にアクセスされたことを示す証拠はないとしている。とはいえ、ユーザーが危険にさらされた恐れがある。念のため、今すぐパスワードを変更しよう。
パスワードや個人情報といった扱いに注意を要するデータは、通常、常に暗号化して保存される。最悪、侵入されてデータベースが流出したとしても、攻撃者にはわけのわからないデータだ。しかし残念ながら、このルールが守られていなかったようだ。
多くのユーザーがRobinhoodから次のようなメールを受け取った。CNETのJustin Cauchon氏もそのひとりだ。
お客様がRobinhoodのアカウントのパスワードを設定する際、弊社では業界標準のプロセスに従って、社内で誰もパスワードを閲覧できないようにしてきました。7月22日の夜、弊社は一部のお客様の資格情報が読める状態で社内システムに保存されていることを発見しました。その中にはお客様のパスワードも含まれていたことをお知らせします。
弊社はこの問題を解決しました。また徹底的に調査した結果、弊社対応チーム以外からのこの情報へのアクセスは認められませんでした。
本当に「業界標準」だったら、他社もパスワードを平文で保存していることになる。そう考えれば、Google、Facebook、Twitterなどにも最近同様の誤りがあったことの説明がつくかもしれない。
Robinhoodの担当者は、この問題に迅速に対応したことを強調した。しかし、問題が発見された経緯、平文で保存されていた期間、この問題の原因となった業界標準からの逸脱、影響を受けたユーザーの数はコメントしておらず、今後これらの点について回答するかどうかも明らかにしていない。同社は次の声明を出した。
我々は速やかにこの情報の記録の問題を解決した。徹底的に調査した結果、弊社対応チーム以外からのこの情報へのアクセスは認められなかった。念のために、我々は影響を受けた恐れのある顧客に通知し、パスワードをのリセットを促した。我々は顧客に対する責任を真摯に受けとめ、顧客の情報の安全に全力を尽くす。
もしあなたがRobinhoodからのメールを受け取ったらアンラッキーだ。パスワードを変更しよう。もし受け取らなかったら……。それでもパスワードを変更しよう。気をつけるに越したことはない。
[原文へ]
(翻訳:Kaori Koyama)