ハクソク

世界を動かす技術を、日本語で。

女性向けデーティング安全アプリ「Tea」が侵害され、ユーザーのIDが4chanに投稿される

304日前原文(404media.co)

概要

Tea という女性向け安全対策アプリの Firebaseデータベース が無防備に公開され、 4chanユーザー が個人情報を閲覧・拡散。 自撮り写真や運転免許証 などの機密データが流出。 Tea は流出を認め、2年前のデータが対象と説明。 App Store上位 の人気アプリで、160万ユーザーを抱える。 アプリの女性認証機能が プライバシーリスク となった事例。

TeaアプリのFirebaseデータベース流出事件

  • Tea は女性が男性の情報を共有し安全を守るための 人気アプリ
  • Firebase のデータベースが 認証なしで公開 されていた事実
  • 4chanユーザー がこの脆弱性を発見し、個人情報を 不正閲覧・拡散
  • スクリーンショットやコード が、404 MediaやRedditで 証拠として共有
  • 自撮り写真運転免許証 など、 本人確認用データ も流出
  • 一部 ダイレクトメッセージ も流出対象
  • Tea側は声明 で「2年前のデータ」と説明
  • 1.6百万ユーザー、App Storeで 高評価・レビュー多数
  • 女性認証のための自撮り提出 が逆に プライバシーリスク
  • 「無認証・公開バケット」 として4chanで拡散される危険性
  • 「送信した顔写真や免許証が公開された」 と4chanで警告
  • 法的・社会的影響、個人情報保護意識の重要性浮き彫り

参考リンク・追加情報

今回の事例から得られる教訓

  • クラウドデータベースアクセス制御 の徹底
  • 本人確認用データ厳重な管理 の必要性
  • 新興アプリ 利用時の プライバシーリスク認識
  • ユーザーへの迅速な通知被害最小化対応 の重要性
  • 情報共有プラットフォームセキュリティ設計 再考

Hackerたちの意見

このユーザーデータは、誰かが偽のペルソナを作ってLLMで活動を埋めることができるのに、どうして信頼できるの?運転免許証も偽造できるし、実際の運転免許証を持っている誰かがこのアプリで他の人になりすますこともできる。Teaというソーシャルメディアアプリの全体的な前提、実装、プロセスは欠陥だらけで、開発者にとって法的なリスクになってるよ。

一般の人にとって、政府のIDみたいな敏感な情報を提出する際にもっと慎重になる良い教訓になったらいいな。見た目が良いUIのアプリだからって、安全だとは限らないし、誰が運営してるかも信頼できるとは限らない。先週、カナダの政府機関に連絡したら、サポートチームがメールで政府のIDを共有するように求めてきたんだけど、それって全然安全なコミュニケーションじゃないよね。自分のボールトへのリンクを共有しようとしたけど、拒否されたから、今は直接行くか、別の方法を見つけるしかない。インターネットは「YouTubeがユーザーに本名を使わないようにお願いする」から、「ランダムなアプリにIDを提出しなきゃいけない」に10年で変わった。クレイジーだよね!

もし私の免許証が漏れて、ストーカーが家に現れたら、免許証が偽造されてないと考えるのは論理的じゃないって理由で追い返すよ。

運転免許証も偽造できるし、実際の運転免許証を持っている誰かがこのアプリで他の人になりすますこともできる。実際、これをやるのはかなり難しいよ。私のために免許証を使わせてくれる人なんて知らないし。

http://archive.today/U5Tah Freewalled

フリーワールド、いいね!

なんで運転免許証の画像を、ユーザーを確認するのにかかった時間以上に保存する必要があるの?

それはすべきじゃないけど、どうやらこのアプリはゴシップアプリみたいで、他の人の写真を(許可があろうとなかろうと)保存してゴシップしてるみたい。プライバシーを大事にしてない感じだね。

別のメディアの報道によると、新しいアカウントの認証待ち時間は17時間もあったらしい。4channersが得たのはその認証待ち時間だった可能性があるね。

これだね。適切な規制があれば、これを大きな罰金で罰せられる犯罪にすべきだと思う。企業には悪い行為に対するほとんど影響がないから。理想を言えば、売上の10%くらいの罰金が見られるべきだよ。ひどいケース(重大な過失)では、LLCを超えて株主の個人資産から回収できるべきだね。ああ、消費者保護があればいいのに。

これが「バイブコーディング」の成果だよね!

これって基本的にPeepleの女性版じゃない?Peepleは、誰かに対する偏見やゴシップを排除できなかったから失敗したんだよね。例えば、誰かが他の人に嫉妬してたら、その人は証拠もなしに虚偽の中傷を書いて、本物だと主張できちゃう。それが被害者の仕事やデートに影響を与えたかもしれないから、VCやオンラインの皆に笑われて、結局閉鎖された。Teaはどうして合法なの?これって法的名誉毀損の時限爆弾みたいなもんじゃないの?

それだけじゃなくて、男性をプラットフォームから排除してる時点で、彼らはセクション230の保護を放棄してると思う。だから、彼らがプラットフォーム上で発表する名誉毀損に対して直接責任を負うことになるんじゃないかな。

まさにLuluみたいだね。プライバシーの問題で閉鎖されたアプリだし。 https://en.wikipedia.org/wiki/Lulu_(app)

これも、実際にストーカーや虐待者が追跡・操作するのにうってつけなアプリっぽいね。「安全を提供する」っていう主張は、ただの空虚な主張に過ぎない。

お茶ってどうして合法なの?これは法的名誉毀損の爆弾がいつ爆発するかわからないよね?この論理で言うと、GlassdoorやYelp、Googleレビューも合法じゃないってこと?雇用オファーの一環としての身元確認はどうなるの?

Peepleは、誰に対するバイアスや噂を排除できなかったから失敗したんだよね。バイアスや噂がなければ、誰がそのアプリを使いたいと思うの?

私にはグレーゾーンに見える。父親として、娘がそのアプリを使うのはいいことだと思う。統計を見れば、毎年どれだけの女性が男性パートナーに殺されているかがわかるよ。

少なくとも一人は、自分に関する投稿をAppleに直接苦情を言って削除してもらったって信じてる。彼はTeaが気にしないだろうと思ってたみたい。 https://x.com/JacobJohnson494/status/1948222924235624870

「虚偽の中傷」なんて存在しないよ。君の最後の二つの質問の答えは、通信品位法の230条にあるよ。

「同じ男とデートしてる?」や「同じ女とデートしてる?」っていう大きなFacebookグループが、このアプリよりも前からあったよ。

名誉毀損(誹謗中傷)は、事実に関する虚偽の発言(または直接的な暗示)で成り立つ。訴訟可能な名誉毀損は、定量的な損害を引き起こす虚偽の主張か、もしくは本質的に損害と見なされる主張から成る --- 特定の限られたリストだね。「この男はストーカーで、恋人にひどい扱いをする」っていうのは純粋な意見で、名誉毀損にはならない。名誉毀損になり得る(稀な)意見の形は、「私はこの人について(主観的なこと)を信じている、なぜなら(客観的なこと)を観察したから」といった形で、ここでの「(客観的なこと)」が実際には虚偽である必要がある。「この人から感じる雰囲気は、スポーツのために人間を狩るって感じだ」っていうのはその形を取っていないし、ほぼ間違いなく名誉毀損にはならない。アメリカの法律の下では、提供者は一般的にユーザーが生成した名誉毀損コンテンツに対して責任を負わない。具体的にそのコンテンツを促進したことを示さない限り、これは高いハードルで、アプリ提供者がクリアするのは難しいと思う。

これを機に、こういうひどい行為を抑制するためのポリシーを考えるのもいいかもね(ストレージが無防備だったみたいだし)。 * App Storeのレビューには、バックエンドの保護に関する軽いセキュリティ監査/チェックリストが必要。 * App Store CTFキルスイッチ。パブリッシャーはAppleとプライベートなCTFトークンを共有しなきゃいけない(例:/etc/apple-ctf-token)。トークンが侵害されたら、アプリストアは自動的にアプリを停止できる。 * パブリッシャーは、自分の敏感な記録(高価値の銀行口座へのアクセス)をバックエンドに含める必要がある。Appleは、これらの秘密が消費者の記録と同じストレージにあることを監査する。

  • アプリが1万人以上のユーザーに達したら、第三者監査を義務付ける。 * アプリの公開プロセスには、パブリッシャーがデータベースに埋め込まなきゃいけない署名が含まれる。その署名がダークウェブに流出したら、App Storeに通知されてアプリは取り消される。

自分の頭を使って、ゴシップサイトに顔や運転免許証をアップロードしないで。子供の頃、プロフェッショナルな場以外で自分の身元をオンラインに投稿しないのが常識だったよ。ユーザーが自分を守る責任があるのであって、OSの責任じゃない。OSがユーザーがやりたいことをできるようにしている限り、どんなセキュリティポリシーもユーザーを完全には守れないよ。

  • App StoreのCTFキルスイッチ。パブリッシャーはAppleにプライベートなCTFトークンを公開名(例:/etc/apple-ctf-token)で共有しなきゃいけない。もしトークンが漏れたら、アプリストアは自動的にアプリを終了させることができる。トークンが実際に存在することをどうやって確認するの?アプリ開発者は、すべてのインフラにトークンがあることを証明するために監査会社を雇わなきゃいけないの?それ、めっちゃ高くつきそう。

そうそう、企業がモバイルアプリからPWAsや普通のウェブサイトに移行するのは素晴らしいアイデアだよね。

この場合、公開のFirebaseバケットのようだね。アプリを終了させても意味がないかも。Firebaseへのアクセスはバックエンドサービスを通じて仲介されていて、Appleはその未知のバケットのセキュリティを検証できなかったんじゃないかな。

世界はアプリストアや囲い込みから離れていってるね。別の選択肢を考えよう。

出版社は自分たちの敏感な記録をバックエンドに含める必要があるんだって。なんてクリエイティブな解決策なんだ!すべての管理者はDBにMY_PERSONAL_INFOっていうテーブルを持ってる必要があるね。

侵害された場合、企業に損害賠償責任を負わせるべきだよ。企業がセキュリティを気にするようにするには、彼らの利益に影響を与えないとね。これは超ハッカーの仕業じゃないよ。単に情報を公開してただけだから。

「安全性」ってこの見出しではかなりの役割を果たしてるね。これはゴシップアプリだし。

「侵害された」って最初の文で言ってるけど、「露出したデータベース」って言い方はもうちょっとニュアンスが必要だよね。彼らは何も責任ある行動をしてないし。404はこの話を、まず彼らを責めるようなタイトルにして、次に「ハッカー」を持ってくるべきだよ。

今のところの一般的な観察として、404mediaからの投稿はHNにとって質の高いコンテンツだと思えるものがほとんどないね。

テック企業を始めるなら、少なくとも創業者の一人は技術的なバックグラウンドが必要だと強く思ってる。たとえ全ての作業を外注しても、セキュリティに関する正しい質問ができる必要があるからね。このデータベースがインターネット経由でアクセス可能だっただけじゃなくて、全てが公開データだったんだ。人々のIDを公開データベースに保存するなんて、ほんとに…驚きだよ。

技術的なバックグラウンドだけじゃ足りないよ。セキュリティの知識も必要だね。セキュリティに関して出会った最悪な人たちの中には、技術的には十分な知識があっても、間違った自信を持ってる人が多かった。

直接金融サービスに関与していない企業が政府のIDを要求するのをやめるべきだよ。Facebookがこの「アプリ」のようにIDを要求するのを法的に許可されるべきじゃない。今、何万人もの人が誰かのアイデアで身分盗用の被害に遭うことになるんだから、倫理的に疑わしいソーシャルネットワーキングサイトの成長ハッキングパターンだと思ったからね。

ここに、投稿が4chanで行われていたとされるスレッドのアーカイブがあるよ: https://archive.4plebs.org/pol/thread/511317913 [NSFW]