有名トラッキングアプリでユーザーのApple IDやパスワードが無防備に公開

 
子どものアクティビティを監視する目的などで利用されるトラッキングアプリ「TeenSafe」で、同アプリを利用しているユーザーの個人データが、誰でもAmazon Cloudサーバーで閲覧可能な状態にあったことが発覚しました。個人データの中には、Apple IDやパスワードが含まれています。

Apple IDやパスワードが誰でも見られる状態に

TeenSafeは、iOSとAndroidの両方でリリースされているトラッキングアプリで、子どもがどんなテキストメッセージを送っているのか、今どこにいるのか、誰に電話しているのか、どんなサイトを閲覧しているのか、どんなアプリをインストールしたのかなどの監視を可能にします。
 
しかし、Amazon CloudのTeenSafeのデータを管理しているサーバー2つが、パスワードなしで誰でもアクセス可能になっていることが発覚しました。セキュリティ専門家によると、2つのサーバーのうち、片方にはテストデータしかなかったものの、もう一方には児童のApple IDやパスワード、児童の親のメールアドレスなどのデータがテキストで大量に存在していたそうです。
 

 
なぜ、暗号化されてもいないプレーンテキストの状態でデータが保管されていたのかは分かっていません。

2ファクタ認証をオフにする危険性

TeenSafe利用者のApple IDやパスワードが流出することは、非常に危険です。
 
というのも、TeenSafeを利用するにあたっては、Appleのセキュリティ機能である2ファクタ認証をオフにする必要があるからです。
 

 
本来であれば、仮にパスワードが第三者に漏れたとしても、2ファクタ認証のおかげで認証が二重化されているため、本人以外がアカウントにアクセスできる可能性は大きく下がります。しかし、この認証がオフになっていると、他のデバイスでのログインやiCloudのデータを第三者が容易に覗き見ることができるようになってしまいます。

すでにサーバーはオフライン状態に

幸いにもニュースサイトZDNetがTeenSafeにコンタクトを取ったことで、すでに問題のサーバーはともにオフラインになっているようですが、ユーザーのアクティビティを監視するアプリのセキュリティや情報管理方法に不備があったとは皮肉な話です。
 
TeenSafeは、同社のサービスを利用する親が100万人以上存在することを明らかにしています。
 
 
Source：ZDNet
Photo：TeenSafe
(kihachi)