ZDNet は、親が十代の若者の携帯電話の活動を監視できるアプリ「TeenSafe」が使用するサーバーの少なくとも 1 つから、子供たちの Apple ID の電子メール アドレスを含む、十代の若者とその親のアカウント数千件が漏洩したと報じています。
モバイルアプリ「TeenSafe」は、iOSとAndroid向けの「安全な」監視アプリであると自称しており、保護者は子供のテキストメッセージや位置情報を閲覧したり、子供の通話相手や時間を監視したり、Web閲覧履歴にアクセスしたり、子供がインストールしたアプリを確認したりすることができる。
同社は、Amazonのクラウドサービス上にホスティングされているサーバーを無防備な状態に放置し、パスワードなしで誰でもアクセスできるようにしていた。この2つのサーバーは、公開データや無防備なデータを探している英国在住のセキュリティ研究者、ロバート・ウィギンズ氏によって発見された。
ZDNetからの警告を受け、同社は両方のサーバーをオフラインにした。サーバーの1つにはテストデータしか保存されていなかったようだ。
「当社はサーバーの1つを一般公開しないように措置を講じ、影響を受ける可能性のある顧客への警告を開始しました」とTeenSafeの広報担当者は日曜日にZDNetに語った。
データベースには、保護者のメールアドレス、接続されたお子様のAppleメールアドレス、お子様のデバイス名、そしてデバイスの固有識別子が保存されています。また、同社のウェブサイトでは顧客データは暗号化されていると主張しているにもかかわらず、平文で保存されたお子様のApple IDのパスワードもデータセットに含まれていました。
記録には、親や子の写真、メッセージ、位置情報は一切含まれていませんでした。ただし、親が子供の位置情報を調べようとして完了しなかったなど、アカウント操作の失敗に関連するエラーメッセージは含まれていました。
報告書によると、過去3ヶ月間に少なくとも10,200件の記録があったが、その中には重複するものもあった。TeenSafeによると、現在100万人以上の保護者がサービスを利用しているという。
