マルコム・オーウェン
· 1分で読めます
Edison Mailの開発者は、一部のユーザーが新しい同期機能で他人のアカウントにアクセスできるセキュリティ上の問題を発見したことを受けて、金曜日にリリースした電子メールアプリのアップデートをロールバックした。
金曜日、Edisonはサードパーティ製メールアプリのユーザーがMacやiPhoneを含むAppleデバイス間でアカウントを同期できる新機能を追加しました。この機能はデバイス間の「メール接続」を同期するものでしたが、ソフトウェアのバグにより意図しない結果が発生しました。
The Vergeの報道によると、ユーザーがソーシャルメディアに投稿した際、自分のアカウントではなく、全く見知らぬ人のメールアカウントがデバイスに表示されるという事例が相次いだ。さらに、これらのアカウントは元のユーザーによる認証を必要とせずに表示され、その内容は閲覧者にすぐに公開されていた。
金曜日の午後10時50分(太平洋標準時)に、一部のiOSユーザーにおいてセキュリティバグが発生しました。該当のアップデートはロールバックしました。影響を受けたユーザーはすべてログアウトされており、再ログインが必要となります。
— エジソン(@Edison_apps)2020年5月16日
発見から10時間後、エジソンは「ユーザーベースのごく一部」がアプリに脆弱性を経験したことを確認しました。同社はすぐにアップデートをロールバックし、影響を受けたユーザーに連絡を取り、インシデントについて、また誰かが一時的にユーザーのメールアカウントにアクセスした可能性があることを通知しました。
修正の一環として、影響を受けたすべてのユーザーは、残りの接続を切断するためにアプリから強制的にログアウトされ、アプリでの再認証が求められました。
Edisonは2月に、ユーザーデータを収集し、ユーザーのメッセージ内容を監視してワンクリックでアクションを実行できるボタンや定型返信を提供する複数のアプリの一つとして特定されました。2月の報告書では、Edisonがユーザーのメールアドレスをスクレイピングして得たデータを金融、旅行、eコマースの顧客に販売していたと疑われています。
当時、開発者らは、個人メールや仕事用メールは無視し、商用メールからは匿名の購入情報のみを抽出し、ユーザーが研究プロジェクトとのデータ共有を拒否できるようにしていると主張して、スクレイピングを擁護した。
