セキュリティ研究者らによると、ホームエクササイズ大手のPeloton(ペロトン)とその最も近いライバルであるEchelon(エシュロン)は、ユーザーがアップロードしたプロフィール写真からメタデータを除去しておらず、場合によってはユーザーの実世界の位置データを流出していたという。
ほぼすべてのファイル、写真、ドキュメントにはメタデータが含まれている。メタデータとは、ファイルのサイズ、作成日、作成者など、ファイルそのものに関するデータだ。また、写真やビデオには、それらが撮影された場所が含まれていることがよくある。こうした位置データは、オンラインサービスが写真やビデオに「このレストランに行った」「このランドマークに行った」というタグを付けるのに役立つ。
だがこれらのオンラインサービス、特に人々のプロフィール写真を見ることができるソーシャルプラットフォームでは、ファイルのメタデータから位置データを削除するのが通例になっている。位置データはあなたがどこに住んで、どこで働き、どこに行って、誰と会っているか明らかにすることがあるので、他のユーザーがあなたの居場所を盗み見できないようにするためだ。
Pen Test Partnersのセキュリティ研究者Jan Masters(ヤン・マスターズ)氏は、Pelotonの漏洩したAPIの調査の一環として、このメタデータの漏洩を発見した。TechCrunchは、ニューヨークオフィスのGPS座標が入ったプロフィール写真をアップロードし、サーバー上にあるファイルのメタデータをチェックすることでバグを確認した。
関連記事:PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明
このバグは、PelotonとEchelon両社に非公開で報告された。
Pelotonは2021年5月初めにAPIの問題を修正したが、メタデータのバグを修正し、既存のプロフィール写真から位置データを取り除くためには、さらに時間が必要だと述べていた。Pelotonの広報担当者は、これらのバグが先週修正されたことを確認した。Echelonは、5月初めにバグを修正した。(TechCrunchは両社がバグを修正し、古いプロフィール写真からメタデータが削除されたことを確認するまで報道を控えていた)。
関連記事:PelotonのライバルEchelonもAPI漏洩、誰でも会員アカウントデータを取得できる状態に
このバグがいつから存在していたのか、また誰かが悪意を持ってユーザーの個人情報をスクレイピングするために利用したかは不明だ。キャッシュされたものであれスクレイピングされたものであれ、位置データのコピーが存在すれば、自宅の住所や職場、その他のプライベートな場所が特定されてしまうユーザーにとって重大なプライバシーリスクとなる可能性がある。
Parler(パーラー)はユーザーがアップロードした写真からメタデータを削除しなかったため、アーキビストが同プラットフォームのAPIの弱点を突いて全コンテンツをダウンロードした際に、何百万人ものユーザーの位置データが流出したことで有名だ。また、最終的にはそこにたどり着いたものの、Slack(スラック)のようにメタデータの削除を採用するのが遅かった企業もある。
関連記事:Slackがアップロードされた画像のEXIF情報削除を開始
カテゴリー:セキュリティ
タグ:Peloton、Echelon、データ漏洩、位置情報、エクササイズ、個人情報
画像クレジット:Ezra Shaw / Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)
