毎度お騒がせなキム・カーダシアンさん、今度は自身のサイトでやらかしちゃいました。カーダシアンさんはともにリアリティ番組などに出演するクリス・ジェンナーさんや姉妹たちと共同で、ファンが限定コンテンツを現金トレードできるアプリをリリースすると同時に、新たなウェブサイトを公開しました。でもそのサイトの方では、公開後まもなくなんと89万1340人もの個人情報も公開されちゃってたんです。あちゃー!
ファンたちの間に影響力がある彼女たちも、サイバーセキュリティーに関しては無力な存在だったよう。アプリとウェブサイトが公開されてわずか数時間後には、19歳のデベロッパーAlaxic Smithさんがどんなデータが集められているのかコードをいじくりはじめ…なんとアプリのデベロッパーはAPIをあけっぴろげにしたままだったことを発見しました。Smithさんは自身もCommunlyというセレブ情報ソーシャルアプリを開発しており、今回公開されたアプリがどんなものだか中身を確認してみたかったんだそう。Mediumに投稿したSmithさんによれば:
私はカイリー・ジェンナー(*訳注:クリス・ジェンナーの娘)のサイトに登録した66万3270人の名字、名前、メールアドレスにアクセスすることができました。それから気づいたのは、同じAPIコールを使うことにより、それぞれのサイトで同じ情報を引き出させることが可能だということです。また、ユーザー、写真、動画などを作ることも削除することも可能となっていました。これが重大な問題であることは明白です。そしてわいてくる疑問は、ユーザーはこれらのアプリの個人情報の扱いを信用できるか、それにも増して、これらアプリに支払情報を預けるに値するか、ということです。
同じ方法でキム・カーダシアンさん、コール・カーダシアンさん、ケンダル・ジェンナーさんのサイトでも個人情報を見ることができました(ちなみに彼らのアプリ利用者は、カイリーさんのアプリ利用者より少なかったそう)。Smithさんがこの方法を発見した際には、すべてのアプリに登録されていた個人情報の総数は89万1340人分だったそう。
でもこんな災難な中にも明るいニュースというか、そう悪くない出来事もありました。このアプリを作ったWhalerock Digital Mediaによれば、支払情報は安全だそうで、この個人情報入手の抜け穴も修正されたとのこと。一方で、Whalerock Digital Mediaはこの致命的な失敗に慌てふためき、SmithさんにMediumへの投稿を無理やり取り下げさせ、Smithさんがメディアに話をすることを禁じたりもしています(その投稿のキャッシュ版はこちら)。
超人気アプリやウェブサイトが個人情報を見られるままにしておくというのは、あってはいけないミスです。しばらく前にはアメリカでは政府から360万人の社会保障番号が流出したり、パスワードの管理が甘すぎたソニー・ピクチャーズの事例や、ちょっとアマゾンに電話をかければアップルのパスワードが手に入ったりといったこともありました。
日本でも年金情報から125万件の個人情報が流出したことは記憶に新しいです。いずれにせよ、ハックして個人情報を悪用する側がいちばん悪くはありますが、個人情報が漏れだす欠陥をもったシステムも大いに問題。ユーザーとしてもウェブサービスであれオフラインのサービスであれ、個人情報を提供するときには気を付けたいものです。
Image by Tinseltown / Shutterstock.com
source: Medium via TechCrunch
Adam Clark Estes - Gizmodo US[原文]
(abcxyz)