ここから本文です

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

3/28(火) 15:26配信

THE ZERO/ONE

何も知らされていなかったユーザー

ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは昨年12月末。Cloudpetsのオリジナルのデータベースが削除され、「PLEASE_READ」という名前のデータベースに置き換えられたのは今年1月7日、さらに「README_MISSING_DATABASES」と「PWNED_SECURE_YOUR_STUFF_SILLY」に置き換えられたのが1月8日だった。

おそらくSpiral Toys社のサポートは昨年末からまともに機能していなかった。データベースが危険に晒されていると、何度も警告されていたにも関わらず、何も対応をしていなかった。そののち、CloudPetsのデータベースは何者かによって削除され、Spiral Toys社は身代金要求の恐喝を受けた。
そして1月13日、CloudPetsのデータベースはようやく「誰でもアクセスできる公共の場」から姿を消した。つまり適切なセキュリティが実装されたと考えられる。Spiral Toys社が身代金を支払ったにせよ、あるいは別の方法でデータを復元したにせよ(※)。まともなセキュリティ対策が新たにとられるまでの間、複数の人々が顧客のデータにアクセスしていたことは間違いない。それならばメーカーは、せめて顧客に案内を行い、パスワードのリセットをするべきだった。それを行なわず、何も起きていないふりをするのはあまりに無責任である。

ハントは次のように述べている。「まずデータベースが公開されていたこと、そして悪意を持った人物がそこにアクセスしたことを、CloudPets(あるいはmReady)が知らなかったと考えるのは不可能だ。(中略)そうであるにも関わらず、この話題はニュースにならなかった。私の元に送られたデータの中には、私のワークショップに来ていた男性のユーザーデータが存在していたが、彼はそのデータベースが危険に晒されていたことについて、また彼と娘の間で交わされたプライベートな会話が違法にアクセスされていた可能性があることについて、何も知らされていなかった」
 
※ Spiral Toys社は後日「身代金の要求には気づいていなかった」とコメントしている。それが本当であるなら同社は支払っていない。しかし「気づいていなかった」というのは、さすがに無理があるだろう。

1/3ページ

最終更新:3/28(火) 15:26
THE ZERO/ONE