フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 37
ストーリー by hylom
どうしてこうなった 部門より
どうしてこうなった 部門より
taraiok曰く、
フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという(The Tribune、TechCrunch、Hacken.io、Slashdot)。
漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。
10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。
直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。
この脆弱性を解消するための即時の対策 (スコア:5, おもしろおかしい)
パスワードかけただけだろ。
何を大げさに。
Re: (スコア:0)
500円(相当の)券の準備とか、色々あるでしょう
Re: (スコア:0)
詫び券を配っても脆弱性は解消されない
Re: (スコア:0)
サーバ落としたかネットから切断しただけだろ
Re: (スコア:0)
結果だけ見れば単純だが、それは割とスゴイ。
#個人配備のクライアントPCレベルの運用ができるサーバー…
Re: (スコア:0)
巫女SE…
Re: (スコア:0)
この手の問題への対応なんてサーバの停止か通信の暗号化を実装するアップデート配信くらいしか無いでしょ
それをこのどっちかを即時にするとなると前者のほうが楽なんでは?
ひょっとすると正規顧客とのやり取りは暗号化されていてサーバにはパスワードがかかってなかっただけかもしれないけど。こっちのパターンだとより間抜けでよりアレゲですね
関連記事 (スコア:4, 興味深い)
米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す [security.srad.jp]
この手のフィットネス系のアイテムって問答無用でクラウドにデータ置こうとするくせに、セキュリティとか二の次というイメージがある。
一時期だけ使ってたスマートウォッチも、データはクラウドにしか保存できない仕様で閉口したんだよなぁ。データのエクスポートはクラウドのデータを拾ってくる必要があって、エクスポートしたデータをクラウドから消すみたいなこともできないという……。
そのくせ、データ共有できる系の設定はのきなみデフォルトでパブリック公開になってるし、セキュリティに気を使ってるとはとても思えない……。
設計思想からしてセキュリティにはまったく配慮してないように見えるんだけど、どこのメーカーもそんなもんなんだろうかね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:関連記事 (スコア:1)
セキュリティ対策なんて直接の金にならないから、アイデア先行のベンチャー企業にとっては考慮に値しないと考えているのかと
情報漏えい等失敗して潰れたら新しい会社作ればいいだけだし とでも思ってそう。
あとは製品価格抑えるために顧客から取得したデータを統計用に売ろうとしているのなら、
個人情報は金になるモノ以上の価値は見出していないのかもしれない
(フィットネスの取得した情報とユーザー情報が紐づけば統計用データとして利用価値はあるだろうけど、ユーザー情報だけの漏洩なら勧誘名簿として使えても統計用データとしての利用価値は少ないだろうから、会社が個人情報を名簿として売る気がなかったのなら損害はないと言える)
Re: (スコア:0)
真っ先に思い出したのが TBC の一件だなぁ。
当時の委託先の社長を今でもベンチャーの星みたいに評価する人がいるのが不思議なんだよな。
特に経営者視点で見る立場の人たちにね。
リスク管理やサービス業の基礎を蔑ろにしていたところは見てないのかよ、って。
Re: (スコア:0)
Appleはその辺気を使ってますね
バックアップからの復元ですらパスワード付きバックアップから出ないとヘルスケアのデータは引き継げません
ヘルスケアデータに対する読み込み書き込み権限もアプリ別に設定できますよ
で、iCloud上にヘルスケアデータを置くかどうかも選択可能ですね
オフにすると消えちゃう
XML形式でデータの書き出しも可能なので割とよく出来てるかと
AppleWatchの前はFitbit使ってましたけどAWの方がトラッカーとして使いやすいです
Re: (スコア:0)
メーカーがお金をもらって売るか、メーカーが攻撃されて盗まれるかの違いでしかないw
#2000年代のクラウド化されてないモデル探すか、プロトコル解析されてオープンソースアプリのあるトラッカー使うのがいい
Re: (スコア:0)
元コメも読めない脊髄反射レスするなら返信でやらないでください。
このツリーには全く関係ありません。
Re: (スコア:0)
個人的に、WorkoutのランニングデータをGPX形式で出力できるといいんだけど、そういう機能はないんだよなぁ。
他のサービスにデータ移行できないのはちょっとね。
とはいえ、Watchで最も安定したWorkoutトラッキングアプリなのでしょうがない。Runtasticとかアプリ落ちて使い物にならないし。
おっしゃるようにAppleはフィットネストラッキングデータ(ヘルスデータ)をクラウドに置かない(バックアップとしては置く&ユーザー固有の鍵なのでAppleでも復号不可能)ので、漏れる心配はない。
そのせいでソーシャル機能は皆無みたいなもんだけど、最近始まったCompetitionはかなりのモチベーションになるw
プライバシー考えながら、割と上手くやってる感じ。
Re: (スコア:0)
ソーシャル機能を充実させて盛り上がってる感を出さないとユーザーが集まらないしね。
セキュリティには気を使ってるかもしれないが、プライバシーを気にしてる、かは微妙かな。
ランニング系のだと、リアルタイムで走ってる人の経路なんかが見れたりする。下手すると家の前までわかっちゃうんだよな。
デフォルト設定の問題もあるけど、ユーザーが自衛意識が低いのも問題。
自分はだいたい新しいサービス使うときは公開範囲設定をまずチェックする。
パスワードなし (スコア:2)
最初からそうだったのか、売買時とかに設定変えたのか。
最初からそうだったとしたら、システム構築後引き渡されるときに担当が
「ややこしいからパスワードなしにしといて」
売買時に設定変えたとしたら、引き継ぎ時にやっぱり(略)
とか妄想膨らむ。
#流石にシステム開発時にはパスワード掛けてるよね。
Re: (スコア:0)
自社のサーバにリプレイスするから旧サーバのデータ読めるようにしといて!
…いつの間にかリプレイスはなくなって旧サーバをそのまま使うことに
ってパターンもありえる
Re: (スコア:0)
これ系のサービスって自社開発なイメージだけど、外注多いのかな?
もし中にエンジニアいないなら、買収しても人材確保する意味ないし、全員解雇かな。
発見者であるHacken.io (スコア:1)
なん、だと...
Re:発見者であるHacken.io (スコア:1)
間違いなく日本語圏の人
Re:発見者であるHacken.io (スコア:1)
南総里見八犬伝かもしれない
間違いなく日本語圏の人
Re: (スコア:0)
サンダーバードに出てくる天才技術者ブレインズの本名がホラチオ・ハッケンバッカー(Horatio Hackenbacker)というんですよね。
いくらなんでも出来過ぎだから吹き替えだけだと思ったんですけど、劇中で身分証を出したときにちゃんとHackenbackerと書いてありました。
(この時は偽名のハイラム・K・ハッケンバッカーでしたけど)
編集者も読者も国語力を磨くべき (スコア:1)
> 発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏
ここはやや読みにくいですよね.少しは工夫してほしいです.
推敲が面倒でも,とりあえずなら()を使ってつぎのように書けば済む話です.
発見者のBob Diachenko氏(hacken.io [hacken.io]のサイバーリスク研究担当ディレクター)
ついでにリンクも貼っておけば会社って解ります
Re:編集者も読者も国語力を磨くべき (スコア:1)
> 正義に味方する
> ホワイトハッカーのための
> 仮想通貨
> サイバーセキュリティビジネスを加速させるグローバルトークン
胡散臭すぎるwww
Re: (スコア:0)
藤原達也が広告塔やってるスカイシーとかいう会社よりはマシだろう
#実際のところあの人がやってる役を知らなければ爽やかな青年がアピールしてるだけなんだけどね
Re: (スコア:0)
素晴らしき「発見」(ヒィッツカラルドではない)。
Re: (スコア:0)
会社はウクライナ
Re: (スコア:0)
それとも、刀剣?闘犬?
いずれにしても、間違いなく日本語圏
Re: (スコア:0)
ドイツ語の動詞で「-en」な形のものが多いのでそういうノリかもしれない
また〇ace〇ookかと (スコア:0)
こういうのって買収した会社が創業者とか元株主を訴えるとかあんの? (スコア:0)
買った側はあんまり気持ち的によくないし
Re: (スコア:0)
これがノーガード戦法というやつか…。
最高情報セキュリティ責任者は恥ずかしくて表歩けない事案だ。
重過失に該当するのかな?
Re: (スコア:0)
その「最高情報セキュリティ責任者」は実在の存在でしょうか?
あなたの想像上の産物かもしれません。
Re: (スコア:0)
私、最高情報セキュリティ責任者ですよ
Re: (スコア:0)
買収の契約にどういう瑕疵条項を入れるかにもよりますが、普通は虚偽などの意図的な悪意を持った行為しか入れないので、この手の問題では売り手の責任は問えないでしょう。無能やうっかりまで補償対象になってしまうと、売り手側としてはM&Aなんて怖くて出来なくなります。
関連記事その2 (スコア:0)
トランプ大統領の支持者向け出会い系アプリが公開後すぐに「個人情報がダダ漏れ」と研究者から指摘される [gigazine.net]
わざとじゃないんです (スコア:0)
例え軍関係者のトラッキングデータが他国に抜かれていたとしても
誰にでも過ちはあるのです。故意ではないのです。