株取引アプリのロビンフッドがパスワードを平文で保存していた

米国時間7月24日、株取引アプリのRobinhood(ロビンフッド)が、一部のユーザーのパスワードを含む資格情報を社内システムに平文で保存していたことを明らかにした。これはきわめて深刻なセキュリティ上の誤りだが、同社はデータに不適切にアクセスされたことを示す証拠はないとしている。とはいえ、ユーザーが危険にさらされた恐れがある。念のため、今すぐパスワードを変更しよう。

パスワードや個人情報といった扱いに注意を要するデータは、通常、常に暗号化して保存される。最悪、侵入されてデータベースが流出したとしても、攻撃者にはわけのわからないデータだ。しかし残念ながら、このルールが守られていなかったようだ。

多くのユーザーがRobinhoodから次のようなメールを受け取った。CNETJustin Cauchon氏もそのひとりだ

お客様がRobinhoodのアカウントのパスワードを設定する際、弊社では業界標準のプロセスに従って、社内で誰もパスワードを閲覧できないようにしてきました。7月22日の夜、弊社は一部のお客様の資格情報が読める状態で社内システムに保存されていることを発見しました。その中にはお客様のパスワードも含まれていたことをお知らせします。

弊社はこの問題を解決しました。また徹底的に調査した結果、弊社対応チーム以外からのこの情報へのアクセスは認められませんでした。

本当に「業界標準」だったら、他社もパスワードを平文で保存していることになる。そう考えれば、GoogleFacebookTwitterなどにも最近同様の誤りがあったことの説明がつくかもしれない。

Robinhoodの担当者は、この問題に迅速に対応したことを強調した。しかし、問題が発見された経緯、平文で保存されていた期間、この問題の原因となった業界標準からの逸脱、影響を受けたユーザーの数はコメントしておらず、今後これらの点について回答するかどうかも明らかにしていない。同社は次の声明を出した。

我々は速やかにこの情報の記録の問題を解決した。徹底的に調査した結果、弊社対応チーム以外からのこの情報へのアクセスは認められなかった。念のために、我々は影響を受けた恐れのある顧客に通知し、パスワードをのリセットを促した。我々は顧客に対する責任を真摯に受けとめ、顧客の情報の安全に全力を尽くす。

もしあなたがRobinhoodからのメールを受け取ったらアンラッキーだ。パスワードを変更しよう。もし受け取らなかったら……。それでもパスワードを変更しよう。気をつけるに越したことはない。

[原文へ]

(翻訳:Kaori Koyama)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。