人気の位置情報追跡アプリ「Family Locator」(日本でのアプリ名は「ファミリーロケータ」)から、数週間にわたって23万8千人以上のユーザーの位置情報がリアルタイムで流出していた。これはアプリ開発者がサーバにパスワードをかけずに公開していたことによる。
このアプリはオーストラリアのソフトウェアハウス、React Appsが開発しているもので、たとえば配偶者同士で居場所を知りたいときや保護者が子供の居場所を知りたいときなどに、位置情報をリアルタイムでお互いに追跡することができる。ユーザーがジオフェンスの通知を設定すれば、家族が学校や職場といった特定の場所に入ったりそこから離れたりしたときに通知を送信することもできる。
ところがバックエンドのMongoDBデータベースは保護されておらず、どこを見ればいいかがわかれば誰でもアクセスできる状態になっていた。
セキュリティ研究者でNPOのGDI FoundationのメンバーであるSanyam Jain氏がこのデータベースを見つけ、状況をTechCrunchに報告した。
データベースを確認したところによると、各アカウントのレコードにはユーザー名、メールアドレス、プロフィールの写真、平文のパスワードが含まれていた。アカウントには本人とその家族のリアルタイムの位置情報もわずか数フィートの精度で保管されていた。ジオフェンスを設定していたユー
コメント