パスワードを忘れた? アカウント作成
13744831 story
インターネット

フィットネスアプリ企業、パスワード無しのサーバーで数百万の個人情報を管理 37

ストーリー by hylom
どうしてこうなった 部門より
taraiok曰く、

フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという(The TribuneTechCrunchHacken.ioSlashdot)。

漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年10月16日 9時54分 (#3498446)

    パスワードかけただけだろ。
    何を大げさに。

    • by Anonymous Coward

      500円(相当の)券の準備とか、色々あるでしょう

      • by Anonymous Coward

        詫び券を配っても脆弱性は解消されない

    • by Anonymous Coward

      サーバ落としたかネットから切断しただけだろ

      • by Anonymous Coward

        結果だけ見れば単純だが、それは割とスゴイ。

        #個人配備のクライアントPCレベルの運用ができるサーバー…

        • by Anonymous Coward

          巫女SE…

        • by Anonymous Coward

          この手の問題への対応なんてサーバの停止か通信の暗号化を実装するアップデート配信くらいしか無いでしょ
          それをこのどっちかを即時にするとなると前者のほうが楽なんでは?
          ひょっとすると正規顧客とのやり取りは暗号化されていてサーバにはパスワードがかかってなかっただけかもしれないけど。こっちのパターンだとより間抜けでよりアレゲですね

  • 関連記事 (スコア:4, 興味深い)

    by akiraani (24305) on 2018年10月16日 9時17分 (#3498430) 日記

    米国防総省、位置情報などの漏洩リスクからフィットネストラッカーの使用制限命令を出す [security.srad.jp]

    この手のフィットネス系のアイテムって問答無用でクラウドにデータ置こうとするくせに、セキュリティとか二の次というイメージがある。

    一時期だけ使ってたスマートウォッチも、データはクラウドにしか保存できない仕様で閉口したんだよなぁ。データのエクスポートはクラウドのデータを拾ってくる必要があって、エクスポートしたデータをクラウドから消すみたいなこともできないという……。
    そのくせ、データ共有できる系の設定はのきなみデフォルトでパブリック公開になってるし、セキュリティに気を使ってるとはとても思えない……。

    設計思想からしてセキュリティにはまったく配慮してないように見えるんだけど、どこのメーカーもそんなもんなんだろうかね。

    • by Anonymous Coward on 2018年10月16日 10時26分 (#3498466)

      セキュリティ対策なんて直接の金にならないから、アイデア先行のベンチャー企業にとっては考慮に値しないと考えているのかと
      情報漏えい等失敗して潰れたら新しい会社作ればいいだけだし とでも思ってそう。

      あとは製品価格抑えるために顧客から取得したデータを統計用に売ろうとしているのなら、
      個人情報は金になるモノ以上の価値は見出していないのかもしれない
      (フィットネスの取得した情報とユーザー情報が紐づけば統計用データとして利用価値はあるだろうけど、ユーザー情報だけの漏洩なら勧誘名簿として使えても統計用データとしての利用価値は少ないだろうから、会社が個人情報を名簿として売る気がなかったのなら損害はないと言える)

      親コメント
      • by Anonymous Coward

        真っ先に思い出したのが TBC の一件だなぁ。
        当時の委託先の社長を今でもベンチャーの星みたいに評価する人がいるのが不思議なんだよな。
        特に経営者視点で見る立場の人たちにね。
        リスク管理やサービス業の基礎を蔑ろにしていたところは見てないのかよ、って。

    • by Anonymous Coward

      Appleはその辺気を使ってますね
      バックアップからの復元ですらパスワード付きバックアップから出ないとヘルスケアのデータは引き継げません
      ヘルスケアデータに対する読み込み書き込み権限もアプリ別に設定できますよ
      で、iCloud上にヘルスケアデータを置くかどうかも選択可能ですね
      オフにすると消えちゃう
      XML形式でデータの書き出しも可能なので割とよく出来てるかと

      AppleWatchの前はFitbit使ってましたけどAWの方がトラッカーとして使いやすいです

      • by Anonymous Coward

        メーカーがお金をもらって売るか、メーカーが攻撃されて盗まれるかの違いでしかないw

        #2000年代のクラウド化されてないモデル探すか、プロトコル解析されてオープンソースアプリのあるトラッカー使うのがいい

        • by Anonymous Coward

          元コメも読めない脊髄反射レスするなら返信でやらないでください。

          このツリーには全く関係ありません。

      • by Anonymous Coward

        個人的に、WorkoutのランニングデータをGPX形式で出力できるといいんだけど、そういう機能はないんだよなぁ。
        他のサービスにデータ移行できないのはちょっとね。
        とはいえ、Watchで最も安定したWorkoutトラッキングアプリなのでしょうがない。Runtasticとかアプリ落ちて使い物にならないし。

        おっしゃるようにAppleはフィットネストラッキングデータ(ヘルスデータ)をクラウドに置かない(バックアップとしては置く&ユーザー固有の鍵なのでAppleでも復号不可能)ので、漏れる心配はない。
        そのせいでソーシャル機能は皆無みたいなもんだけど、最近始まったCompetitionはかなりのモチベーションになるw
        プライバシー考えながら、割と上手くやってる感じ。

    • by Anonymous Coward

      ソーシャル機能を充実させて盛り上がってる感を出さないとユーザーが集まらないしね。
      セキュリティには気を使ってるかもしれないが、プライバシーを気にしてる、かは微妙かな。
      ランニング系のだと、リアルタイムで走ってる人の経路なんかが見れたりする。下手すると家の前までわかっちゃうんだよな。
      デフォルト設定の問題もあるけど、ユーザーが自衛意識が低いのも問題。
      自分はだいたい新しいサービス使うときは公開範囲設定をまずチェックする。

  • by nemui4 (20313) on 2018年10月16日 8時28分 (#3498413) 日記

    最初からそうだったのか、売買時とかに設定変えたのか。

    最初からそうだったとしたら、システム構築後引き渡されるときに担当が
    「ややこしいからパスワードなしにしといて」
    売買時に設定変えたとしたら、引き継ぎ時にやっぱり(略)

    とか妄想膨らむ。

    #流石にシステム開発時にはパスワード掛けてるよね。

    • by Anonymous Coward

      自社のサーバにリプレイスするから旧サーバのデータ読めるようにしといて!
      …いつの間にかリプレイスはなくなって旧サーバをそのまま使うことに
      ってパターンもありえる

    • by Anonymous Coward

      これ系のサービスって自社開発なイメージだけど、外注多いのかな?
      もし中にエンジニアいないなら、買収しても人材確保する意味ないし、全員解雇かな。

  • by Anonymous Coward on 2018年10月16日 8時07分 (#3498401)

    なん、だと...

    • by kour (48336) on 2018年10月16日 10時25分 (#3498463)
      hackと発見をかけてるな。.ioはフェイク。
      間違いなく日本語圏の人
      親コメント
      • by Anonymous Coward on 2018年10月16日 12時10分 (#3498526)

        南総里見八犬伝かもしれない
        間違いなく日本語圏の人

        親コメント
      • by Anonymous Coward

        サンダーバードに出てくる天才技術者ブレインズの本名がホラチオ・ハッケンバッカー(Horatio Hackenbacker)というんですよね。
        いくらなんでも出来過ぎだから吹き替えだけだと思ったんですけど、劇中で身分証を出したときにちゃんとHackenbackerと書いてありました。
        (この時は偽名のハイラム・K・ハッケンバッカーでしたけど)

    • by Anonymous Coward on 2018年10月16日 12時16分 (#3498533)

      > 発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏

      ここはやや読みにくいですよね.少しは工夫してほしいです.
      推敲が面倒でも,とりあえずなら()を使ってつぎのように書けば済む話です.

      発見者のBob Diachenko氏(hacken.io [hacken.io]のサイバーリスク研究担当ディレクター)

      ついでにリンクも貼っておけば会社って解ります

      親コメント
      • by Anonymous Coward on 2018年10月16日 12時29分 (#3498536)

        > 正義に味方する
        > ホワイトハッカーのための
        > 仮想通貨
        > サイバーセキュリティビジネスを加速させるグローバルトークン

        胡散臭すぎるwww

        親コメント
        • by Anonymous Coward

          藤原達也が広告塔やってるスカイシーとかいう会社よりはマシだろう
          #実際のところあの人がやってる役を知らなければ爽やかな青年がアピールしてるだけなんだけどね

    • by Anonymous Coward

      素晴らしき「発見」(ヒィッツカラルドではない)。

    • by Anonymous Coward
      Hackenは仮想通貨でもあるのでHack + Token で Hackenかもしれない
      会社はウクライナ
      • by Anonymous Coward
        東建が関わってるのか。
        それとも、刀剣?闘犬?
        いずれにしても、間違いなく日本語圏
    • by Anonymous Coward

      ドイツ語の動詞で「-en」な形のものが多いのでそういうノリかもしれない

  • 剣呑剣呑...
  • 買った側はあんまり気持ち的によくないし

    • by Anonymous Coward

      これがノーガード戦法というやつか…。
      最高情報セキュリティ責任者は恥ずかしくて表歩けない事案だ。

      重過失に該当するのかな?

      • by Anonymous Coward

        その「最高情報セキュリティ責任者」は実在の存在でしょうか?
        あなたの想像上の産物かもしれません。

        • by Anonymous Coward

          私、最高情報セキュリティ責任者ですよ

    • by Anonymous Coward

      買収の契約にどういう瑕疵条項を入れるかにもよりますが、普通は虚偽などの意図的な悪意を持った行為しか入れないので、この手の問題では売り手の責任は問えないでしょう。無能やうっかりまで補償対象になってしまうと、売り手側としてはM&Aなんて怖くて出来なくなります。

  • by Anonymous Coward on 2018年10月16日 12時52分 (#3498546)

    例え軍関係者のトラッキングデータが他国に抜かれていたとしても
    誰にでも過ちはあるのです。故意ではないのです。

typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...