PhotoSquared

人気の写真印刷アプリPhotoSquaredアプリからユーザー写真と出荷情報が流出

次の記事

クラウドロボティクスプラットフォーム開発のRapyuta Roboticsは“物流ロボのサブスク化”を目指す

人気の写真印刷アプリのPhotoSquaredから、何千もの顧客の写真や住所、その他のの詳細が流出した。今回のデータ流出では、少なくとも1万件の出荷情報がAmazon Web Services(AWS)のパブリックストレージに格納されていた。ストレージのバケットにはパスワードが利用されておらず、簡単に推測できるウェブアドレスを知っている人なら、誰でも顧客データにアクセスできた。これらのAWSストレージのバケットは設定が間違っており、「プライベート」ではなく「パブリック」に設定されていることがあまりにも多い。

流出したデータには、ユーザーがアップロードした高解像度写真と、2016年以降に作成された出荷ラベルが含まれており、流出の発覚日までデータは更新されていた。Google Playのランキングによると、同アプリのユーザーは10万人を超えるという。

どれだけの期間、ストレージのバケットが公開されていたのかは不明だ。

公開されていたユーザーの写真と出荷情報の一例。公開されていたストレージのバケットには数千の出荷情報が収納されていた。

セキュリティ研究者らは、公開されたバケットの名前をTechCrunchに提供した。我々はいくつかの出荷ラベルを既存の公開データと照合し、米国時間2月12日にPhotoSquaredに連絡し、データ流出について警告した。

PhotoSquaredを所有するStrategic Factoryの最高経営責任者(CEO)であるKeith Miller(キース・ミラー)氏は、データがすでに非公開にされたことを認めた。しかしMiller氏は、データ侵害通知法に基づいて、顧客や規制当局に通知するかどうかについての明言を避けた。

この記事の執筆時点では、PhotoSquaredは同社のウェブサイトやソーシャルメディアアカウントにて、セキュリティ上の不備について言及していない。

[原文へ]

(翻訳:塚本直樹 Twitter