米国時間7月24日、株取引アプリのRobinhood(ロビンフッド)が、一部のユーザーのパスワードを含む資格情報を社内システムに平文で保存していたことを明らかにした。これはきわめて深刻なセキュリティ上の誤りだが、同社はデータに不適切にアクセスされたことを示す証拠はないとしている。とはいえ、ユーザーが危険にさらされた恐れがある。念のため、今すぐパスワードを変更しよう。
パスワードや個人情報といった扱いに注意を要するデータは、通常、常に暗号化して保存される。最悪、侵入されてデータベースが流出したとしても、攻撃者にはわけのわからないデータだ。しかし残念ながら、このルールが守られていなかったようだ。
多くのユーザーがRobinhoodから次のようなメールを受け取った。CNETのJustin Cauchon氏もそのひとりだ。
お客様がRobinhoodのアカウントのパスワードを設定する際、弊社では業界標準のプロセスに従って、社内で誰もパスワードを閲覧できないようにしてきました。7月22日の夜、弊社は一部のお客様の資格情報が読める状態で社内システムに保存されていることを発見しました。その中にはお客様のパスワードも含まれていたことをお知らせします。
弊社はこの問題を解決しました。また徹底的に調査した結果、弊社対応チーム以外からのこの情報へのアクセスは認められませんでした。
本当に「業界標準」だ
スポンサーリンク
株取引アプリのロビンフッドがパスワードを平文で保存していた
IT起業ニュース
コメント