スマートフォン監視アプリSpyFoneが取得した情報が全て「オンライン上に公開されていた」ことが発覚

子どもや従業員などの位置情報やスマートフォンでの操作内容をウェブ上から監視できるアプリ「SpyFone」で収集されたすべてのデータが、オンライン上から誰でもアクセスできる状態になっていたことが発覚しました。被害を受けた人数はアプリをインストールした約2200人に及ぶとのことです。

Spyware Company Leaves ‘Terabytes’ of Selfies, Text Messages, and Location Data Exposed Online - Motherboard
https://motherboard.vice.com/en_us/article/9kmj4v/spyware-company-spyfone-terabytes-data-exposed-online-leak

この事態に気づいたのはセキュリティ研究者のA氏で、Amazonが運営するオンラインストレージサービスのAmazon S3上にあったSpyFoneが収集したと思われる監視データを発見した後、これらをダウンロードすることが可能だったことから発覚しました。

実際に保存されているデータは、「スマートフォン内に保存された写真」「テキストメッセージ」「音声録音データ」「連絡先」「位置情報」などがあり、少なく見積もってもSpyFoneを使用しているユーザー2208人分の個人情報が公開されていることが明らかになっています。

A氏は「SpyFoneのアカウントを作ってログインするだけで、これら全部のデータにアクセスできる」と語っており、SpyFoneのユーザーアカウントが事実上、管理者アカウントと同レベルの機能を有していて、Amazon S3上に保存された全データにアクセスできてしまうと説明しています。

電子フロンティア財団でサイバーセキュリティの責任者を務めるエバ・ガリペリン氏は、アプリの開発元であるSpyFoneを「『ずさん』『無責任』『無能』を掛け合わせたようなありえない会社だ」と痛烈に批判しています。

記事作成時点でSpyFoneは問題解決に向けて「セキュリティ企業と協力して対策に取り組んでいます。また、データ漏えいに対する対応については、現在法執行機関と調整中です」説明し、「私たちは日々サービスのセキュリティを向上させ続けています。今回の問題が私たちが起こす最後の問題になることを保証します」と語っています。