Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

Make America Data Breach Again

トランプ大統領の支持者は、セキュリティにも気をつけることが必要のようです。

www.afpbb.com

米国のドナルド・トランプDonald Trump大統領支持者向けの出会い系アプリで、ユーザーの個人情報がリリース初日に流出する出来事があった。ITニュースサイト「テッククランチ(TechCrunch)」が15日、報じた。

 2016年大統領選のスローガン「Make America Great Again(米国を再び偉大に)」をもじったうたい文句「Make America Date Again(米国に再びデートを)」を掲げたアプリ「ドナルドデーターズ(DonaldDaters)」は、公式ウェブサイトによると「トランプ氏の支持者と同様、恋人や友人とつながる米国の独身者のコミュニティー」を対象としていた。

 だがフランスのセキュリティー研究者が、独りぼっちの保守派の支持者たちにこっそりとパートナーを探す手段を提供するはずだった同アプリの「問題点」を発見。全ユーザーのデータベースがダウンロード可能になっていた。そのためテッククランチは、アプリのユーザー数が初日で1600人超だったことを把握したという。

 この研究者は、アプリユーザーの名前、プロフィール写真、使用端末の種類、メッセージ、アクセストークンなどが含まれたデータベースを、テッククランチと「共有」したという。

(AFP記事より引用)

 

◆キタきつねの所感

支持者向けのデートマッチングサイトが初日にやらかすとは、トランプ大統領も頭が痛いかも知れません。FinTechベンチャーを含む、比較的新しくサービスを提供するような企業が作ったアプリは、セキュリティを考えて設計されてない事が多い、そんな真理をこの事件も表しているのではないでしょうか。日本人ではこのアプリに登録した人はいないでしょうから、報道される記事もどこか他人事ではありますが、TechCrunchに情報提供をしたのは、フランスのセキュリティリサーチャーのElliot Alderson氏のようです。

 

Twitterでの投稿を見つけたのですが、5分解析して危ない事が判明したようです。名前、写真、メッセージ、セッションのトークン・・・つまりDB全体の情報を見れてしまうという脆弱点があった事になります。

f:id:foxcafelate:20181020155715j:plain

 

更に見ていくと、、、アプリにハードコーディングされているAPIまで見つけられてしまっています

 

f:id:foxcafelate:20181020155719j:plain

 

それでいて、このサイトのFAQでは、会員のプライバシーは安全に守られている・・と書かれています。トランプ大統領流に言えば、FakeFAQなのかも知れません。

f:id:foxcafelate:20181020155723j:plain

 

米国内では結構な騒ぎになっているようで、 公式ホームページ上ではCEOからのお詫び(CEOの名前が書かれてないところが胡散臭さを感じるのですが・・・)が掲載されていました。チャットサービスを一時的に止めて新しいセキュリティプロトコルに切替、外部セキュリティ会社を雇って(指摘された)脆弱性テストを行うとあります。

f:id:foxcafelate:20181020161522j:plain

本来であれば、、、脆弱性(セキュリティ)テストはリリース前にやるべきなのだと思いますが、個人情報を扱うアプリケーションで、こうした視点が抜け落ちているのは、日本のFinTech企業も同じ傾向があります。他山の石となるかどうか・・・そこが問われているかも知れません。

 

というのは、この脆弱性を発見したフランスのセキュリティリサーチャーのElliot Alderson氏、どうやってその脆弱性を見つけたのかについて記事を書いているからです。

medium.com
少し記事を読んでみましたが、同じ手法で色々なアプリを調べられそうな気がしました。(やってませんが)

 

API鍵のハードコーディングについては、去年になりますが、itmediaでも記事が出ていましたが、気づいてないだけで、ホワイトハッカーに見つかる程度ではすまない、大きな事件になってしまう、そんな恐ろしさがあります。

www.itmedia.co.jp

 ほかにもTwitterInstagramDropboxといった人気サービスのAPIキーやトークンがハードコードされたアプリが見つかったといい、Fallibleではアプリ開発者に対し、「アプリにAPIキーやトークンをハードコードする場合、本当にハードコードが必要なのかをよく考える必要がある」と呼び掛けている。

ITmedia記事より引用)

 

アプリリリース前に行うチェックリストに加えておかなければいけない項目な気がします。

 

 

リンカーン大統領の似顔絵イラスト

 

更新履歴

  • 2018年10月20日PM(予約投稿)