TeenSafeの親監視サービスが数千の子供のパスワードを漏洩

親がiPhoneやAndroidデバイスで子供のインターネット活動を監視するために設計されたサービスが、数千のユーザーのパスワードを漏洩したとZDNetが報じています。このサービス、TeenSafeは、親が子供のテキストメッセージの会話を確認し、誰に電話をかけているかを監視し、位置情報やウェブ閲覧履歴にアクセスすることを可能にする「安全な」監視アプリであると主張しています。しかし、iOSデバイスの場合、このサービスは親が子供のApple IDパスワードを提供することに依存しており、それが会社のサーバーに保存されている可能性があり、iCloudデータにアクセスするためのものと思われます。

しかし、イギリスのセキュリティ研究者ロバート・ウィギンズは、先週TeenSafeが実際に1つ以上のサーバーを無防備に放置し、パスワードなしで誰でもアクセスできる状態にしていたことを発見しました。ZDNetはこの会社に警告し、影響を受けたサーバーをオフラインにしました。TeenSafeの広報担当者は、「私たちは公共に対してサーバーの1つを閉じる措置を取り、影響を受ける可能性のある顧客に通知を開始しました。」と述べました。問題のサーバーには、親のメールアドレスとそれに対応する子供のApple ID、デバイス名、プレーンテキストのパスワードを含むデータベースが保存されていました。記録には写真、メッセージ、位置情報などの個人コンテンツデータは含まれていませんでしたが、Apple IDパスワードがあれば、子供のiCloudアカウントやiCloudバックアップにアクセスすることが可能です。TeenSafeは、サービスを利用するために二要素認証を無効にする必要があることが特筆されます。

ZDNetは、サーバーがオフラインになる前に、過去3ヶ月間の少なくとも10,200件の顧客データ記録が含まれていたことを指摘していますが、その中には重複もあったと付け加えています。ZDNetは漏洩データに含まれていたメールアドレスを持つ親のサンプルを12人に連絡し、その情報—子供のメールアドレスを含む—が最近、もし現在ではないにしても、正確であることを確認しました。TeenSafeはサービスを利用している親が100万人以上いると主張しており、他に追加データを含む可能性のある露出したサーバーが存在するかどうか、またなぜ敏感なデータがプレーンテキストで保存されていたのかは不明です。