マザーボードの報道によると、親や雇用主に消費者向けスパイウェアソフトウェアを販売する企業であるSpyfoneが、Amazon Web Services(AWS)のS3ストレージバケット経由で数テラバイトの個人データを漏洩したという。
Spyfoneのスパイデータが漏洩
匿名のセキュリティ研究者がマザーボードに報告したところによると、自撮り写真、テキストメッセージ、音声録音、連絡先、位置情報、ハッシュ化されたパスワードとログイン情報、Facebookメッセージなど、テラバイト単位のデータがSpyfoneのAWS S3パブリックバケット上に公開されていたという。Spyfoneは、顧客に代わってこれらのデータを収集していた。顧客は、子供や従業員のスマートフォンにSpyfoneのアプリケーションをインストールし、彼らの行動を正確に追跡していた。
マザーボードは、Spyfoneのトライアルアカウントを作成し、アプリをスマートフォンにインストールして写真を撮影することで、研究者の主張が真実であることを確認しました。数時間後、研究者は写真の1枚をマザーボードに送り返し、Spyfoneのデータにアクセスできたことを確認しました。
事実上サーバー保護なし
研究者によると、S3バケットには現在、2,208人の顧客から追跡された3,666台の携帯電話のデータが含まれているという。これらの携帯電話に関連付けられた数十万枚の写真や音声録音に加え、研究者は44,109件の固有のメールアドレスも発見した。
さらに、研究者はSpyfoneが自社のバックエンドサーバーへのアクセスにパスワードすら必要としないことを突き止めました。これにより、研究者は同社のサーバー上に独自の管理者アカウントを作成することもできました。
Spyfone の API も保護されていなかったため、URL アドレスを推測または傍受した人は、Spyfone の顧客が誰であるかを正確に把握できた可能性があります。
Spyfoneの代表であるスティーブ・マクブルーム氏は、マザーボードへの声明で次のように述べた。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
当社は、調査を支援するため、大手データセキュリティ企業と提携しており、この事態に関して法執行機関との連携を継続しています。当社のチームは日々、サイトのセキュリティ強化に尽力しており、今回のデータ侵害が最後となることを確信しています。侵害と調査に関するお知らせは、お客様に既に送付済みです。
近年の消費者向けスパイウェア企業に対するデータ漏洩や侵害の共通点の一つは、スパイウェア企業は他人の通信を追跡・傍受する技術を開発できるにもかかわらず、同様の傍受やハッキングから自社のサービスを保護する能力が十分ではないということだ。
Spyfoneのニュースは、AWSの脆弱性につながる新たな事例を示しています。過去には、アクセンチュア、テスラ、GoDaddy、米国国防総省、そしてロボコール業者のRobocentで、顧客側の設定ミス(AWS側ではない)に起因するものも含め、様々な事例が発生しています。
