ロジャー・フィンガス
· 1分で読めます
アップルなどの大手テクノロジー企業にユーザーがいるとされる匿名の内部告発アプリ「ブラインド」は、最近サーバーの1つをパスワードなしで放置し、個人を特定できるアカウントデータを公開したことを認めた。
TechCrunchによると、この脆弱性はセキュリティ研究者によって発見され、Blind社に問題を報告した。しかし、 TechCrunchがこの問題を追及した後、Blind社は問題のデータベースを削除した。アプリ開発者は今週木曜日に顧客へのメール配信を開始した。
「ユーザー向けサービスの向上を目的とした社内ツールの開発中に、ユーザーデータが漏洩するエラーに気付きました」とメールには書かれている。
この漏洩は、11月1日から12月19日までの間に登録またはログインしたユーザーに影響しており、Blindの幹部であるKyum Kim氏は、現時点でデータの盗難や不正使用の「証拠はない」と主張している。TechCrunchは、このデータベースは「ユーザーのログイン、投稿、コメント、その他のやり取りをリアルタイムで提供しており、誰でもプライベートなコメントや投稿を読むことができる」と指摘し、ユーザーのアクセストークンや、まだ投稿していないユーザーのメールアドレスも閲覧可能だったとしている。
パスワードは簡単に解読できるMD5ハッシュとして保存されていたとされているが、キム氏はこれを否定し、同社ではソルトハッシュやSHA2などの手法を使用していると主張した。
視覚障害者ユーザーは、Uberのセクハラなど、複数の企業スキャンダルを暴露したとされています。ライドシェア大手のUberは、社内ネットワークでアプリをブロックする措置を取りました。Apple以外にも、Facebook、Google、Microsoft、Twitterなどが視覚障害者ユーザーを抱える企業です。
企業は不道徳または違法な行為を明らかにする人々を罰したり、黙らせたりすることに熱心であることが判明しているため、匿名の内部告発の場は現代のテクノロジー業界では非常に重要になっている。
