保護者が子供のスマートフォン利用状況を監視できるモバイルアプリ「TeenSafe」が、大規模なデータ侵害に遭いました。ZDNetの独占レポートによると、このアプリが使用しているサーバーの少なくとも1つから、親子双方のアカウント数万件が流出したとのことです。この記事では、侵害されたデータの種類と、それに対する対策について詳しく説明します。
iOSとAndroidの両方で利用可能になったこのアプリでは、保護者が子供のテキストメッセージや位置情報、通話相手や時間などを確認できます。開発者は「安全」と謳っており、TeenSafeは100万人以上の保護者がこのサービスを利用していると主張しています。
ロサンゼルスに拠点を置く同社は、Amazonのクラウド上にホストされていた2台のサーバーを保護なしに放置し、パスワードなしで簡単にアクセスできるようにしていた。ZDNetの報道を受けて、両サーバーは5月20日(日)にオフラインになった。サーバーの1台にはテスト情報しか保存されていなかった。
ティーンセーフは広報担当者を通じて、「当社はサーバーの1つを一般公開から閉鎖する措置を講じ、影響を受ける可能性のある顧客への警告を開始しました」と説明している。
報告によれば、
データベースには、TeenSafeに関連付けられた保護者のメールアドレスと、それに対応するお子様のApple IDのメールアドレスが保存されています。また、お子様のデバイス名(多くの場合、名前のみ)とデバイスの一意の識別子も含まれています。データには、お子様のApple IDのパスワードが平文で含まれています。このアプリは2要素認証を無効にする必要があるため、悪意のある人物がこのデータを閲覧する場合、認証情報を使用するだけでお子様のアカウントに侵入し、個人のコンテンツデータにアクセスできるようになります。
保護されていないデータには、写真やメッセージなどのコンテンツは含まれておらず、親や子の位置情報も提供されていませんでした。合計10,200件の記録が保護されていませんでしたが、その中には重複した記録もありました。
TeenSafeは、この状況について現在も調査中であり、情報が入り次第「追加情報を提供する」としています。TeenSafeユーザーの方は、アカウントのパスワードを変更するか、同社に問い合わせて詳細を確認するのが最善策です。
iOSユーザーが今年データ侵害に遭遇したのは今回が初めてではありません。3月には、アンダーアーマーが人気のダイエットトラッキングアプリ「MyFitnessPal」がハッキングされたと発表しました。 約1億5000万件のユーザーアカウントのユーザー名、メールアドレス、そして[ハッシュ化された]パスワードが盗まれました。
あなたのデータはTeenSafeによって保護されていない可能性がありますか?下記からお知らせください。
画像: ZDNet
