PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた

セキュリティ研究者らによると、ホームエクササイズ大手のPeloton(ペロトン)とその最も近いライバルであるEchelon(エシュロン)は、ユーザーがアップロードしたプロフィール写真からメタデータを除去しておらず、場合によってはユーザーの実世界の位置データを流出していたという。

ほぼすべてのファイル、写真、ドキュメントにはメタデータが含まれている。メタデータとは、ファイルのサイズ、作成日、作成者など、ファイルそのものに関するデータだ。また、写真やビデオには、それらが撮影された場所が含まれていることがよくある。こうした位置データは、オンラインサービスが写真やビデオに「このレストランに行った」「このランドマークに行った」というタグを付けるのに役立つ。

だがこれらのオンラインサービス、特に人々のプロフィール写真を見ることができるソーシャルプラットフォームでは、ファイルのメタデータから位置データを削除するのが通例になっている。位置データはあなたがどこに住んで、どこで働き、どこに行って、誰と会っているか明らかにすることがあるので、他のユーザーがあなたの居場所を盗み見できないようにするためだ。

Pen Test Partnersのセキュリティ研究者Jan Masters(ヤン・マスターズ)氏は、Pelotonの漏洩したAPIの調査の一環として、このメタデータの漏洩を発見した。TechCrunchは、ニューヨークオフィスのGPS座標が入ったプロフィール写真をアップロードし、サーバー上にあるファイルのメタデータをチェックすることでバグを確認した。

関連記事:PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明

このバグは、PelotonとEchelon両社に非公開で報告された。

Pelotonは2021年5月初めにAPIの問題を修正したが、メタデータのバグを修正し、既存のプロフィール写真から位置データを取り除くためには、さらに時間が必要だと述べていた。Pelotonの広報担当者は、これらのバグが先週修正されたことを確認した。Echelonは、5月初めにバグを修正した。(TechCrunchは両社がバグを修正し、古いプロフィール写真からメタデータが削除されたことを確認するまで報道を控えていた)。

関連記事:PelotonのライバルEchelonもAPI漏洩、誰でも会員アカウントデータを取得できる状態に

このバグがいつから存在していたのか、また誰かが悪意を持ってユーザーの個人情報をスクレイピングするために利用したかは不明だ。キャッシュされたものであれスクレイピングされたものであれ、位置データのコピーが存在すれば、自宅の住所や職場、その他のプライベートな場所が特定されてしまうユーザーにとって重大なプライバシーリスクとなる可能性がある。

Parler(パーラー)はユーザーがアップロードした写真からメタデータを削除しなかったため、アーキビストが同プラットフォームのAPIの弱点を突いて全コンテンツをダウンロードした際に、何百万人ものユーザーの位置データが流出したことで有名だ。また、最終的にはそこにたどり着いたものの、Slack(スラック)のようにメタデータの削除を採用するのが遅かった企業もある。

関連記事:Slackがアップロードされた画像のEXIF情報削除を開始

カテゴリー:セキュリティ
タグ:PelotonEchelonデータ漏洩位置情報エクササイズ個人情報

画像クレジット:Ezra Shaw / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。