xiaolong 
ZDNetが、10代の子供の電話や通信アクティビティのモニタリングをするためのペアレントコントロールアプリ(ティーン監視アプリ)のサーバから、約1万人分もの顧客情報が漏洩したことを発表しています。その中には、子供達のApple IDも含まれるということです。
漏洩したデータはTeenSafeというアプリのユーザのもので、本来はiOSとAndroid用の、親が子供達のテキストメッセージや位置情報、電話の受発信記録、Web閲覧記録やアプリのインストール履歴などを”セキュア”にモニタリング可能な”ティーン監視”アプリでした。
このTeenSafeの顧客情報は2つのAWS(Amazon Web Services)によってホスティングされている2つのサーバに保存されていたということですが、そのデータが保護されておらず、パスワードなしで閲覧できたという非常に無防備な状態だったのです。これはイギリスに本社を置くセキュリティ研究所のRobert Wiggins氏が、公に無防備に公開されてしまっているデータを発見し、そしてそれらのサーバはZDNetによる警告があった後、カリフォルニアにあるTeenSafeアプリを開発している会社によって、日曜日にオフラインにされたということです。
公開されてしまっていたデータには、TeenSafeアプリ内で使用されていた親のe-mailアドレス、そして子供達のApple IDのメールアドレス、そして子供達が使用している端末名と個別識別番号(恐らくIMEIかシリアル番号)ということです。そしてプレーンテキストで保存されてしまっていた子供達のApple IDログイン用パスワードもその中に含まれてしまっていました。TeenSafeの公式サイトでは、顧客データは暗号化して保護しているとされていました。
このTeenSafeのアプリの要求事項として、子供のApple ID(iCloud ID)の2ファクタ認証をオフにすることが求められていることが、あまりにも杜撰なセキュリティ管理体制を象徴しているといえます。それによって親が子供の同意なしにモニタリングが可能になるということでしたが、逆にそのことによって、現在既にIDやパスワードが流出している状態では攻撃者が子供のアカウントに容易にログインすることができるようになり、非常に無防備で危険な状態にあるといえます。
TeenSafeのデータベースには最近3ヶ月の顧客分のデータ10,200件しか記録されていなかったとのことですが、アプリ全体としては100万人を超える親を顧客として抱えているということです。同社は2つのサーバ以外にも漏洩したサーバがないかどうかを引き続き調査を進め、顧客に対して既に警告を発し、今後更なる情報が出せる状況になったら出していくとしていますが、同アプリの信用は失墜したといえるかもしれません。
記事は以上です。
(記事情報元:MacRumors)