RingのNeighborsアプリのセキュリティ上の欠陥により、アプリに投稿したユーザーの正確な位置情報と自宅住所が公開されてしまうことがあった。
Amazonが10億ドルで買収したビデオドアベルとホームセキュリティのスタートアップ企業Ringは、2018年に自社のスタンドアロンアプリから独立した機能としてNeighborsをリリースしました。Neighborsは、NextdoorやCitizenなど、ユーザーが匿名で近隣住民に犯罪や公共の安全に関する問題を通報できる近隣監視アプリの一つです。
ユーザーの投稿は公開されていますが、アプリでは名前や正確な位置情報は表示されません。ただし、ほとんどの投稿にはRingのドアベルや防犯カメラで撮影された動画が含まれています。このバグにより、犯罪を通報するユーザーを含む、アプリに投稿したユーザーの位置情報が取得可能になりました。
しかし、漏洩したデータはアプリ利用者には見えませんでした。バグは、ユーザーの緯度経度や自宅住所といった隠されたデータをRingのサーバーから取得していたのです。
もう一つの問題は、すべての投稿がサーバーによって生成される一意の番号に紐付けられており、ユーザーが新しい投稿を作成するたびに1ずつ増加する点でした。この番号はアプリユーザーからは見えませんでしたが、投稿の連番によって、地理的に近くないユーザーであっても、以前の投稿から位置情報を簡単に特定することができました。
ネイバーズアプリには、2020年末までに約400万件の投稿があったようです。
リング社は、この問題を解決したと発表した。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「Ringでは、お客様のプライバシーとセキュリティを極めて重視しています。この問題は認識後すぐに修正しました。この情報が悪意を持ってアクセスまたは使用されたという証拠は確認されていません」と、Ringの広報担当者ヤッシ・シャミリ氏は述べています。
昨年、GizmodoはNeighborsアプリで同様のバグを発見した。このバグにより隠された位置情報が明らかになり、米国中の何千人ものRingユーザーの位置情報を特定できた。
Ringは現在、自社のスマートカメラがハッキングされた後、殺害予告や人種差別的な中傷を受けたと主張する数十人の人々から集団訴訟を起こされている。Ringはハッキング事件への対応として、ハッカーがユーザーのパスワードを使ってアカウントにアクセスすることを困難にする2要素認証などの「ベストプラクティス」をユーザーが実践していなかったことを大きな責任として挙げている。
ハッカーがRingアカウントに侵入するためのツールを作成しているという報道があり、1,500件以上のユーザーアカウントのパスワードがダークウェブ上で発見されたことを受けて、Ringはすべてのユーザーに2要素認証を義務付けました。
また、このスマートテクノロジーメーカーは、住宅のドアベルカメラの映像にアクセスするためにリング社と提携している米国の数百の警察署との親密な関係について、公民権団体や議員からの批判も高まっている。
ダークウェブ上で1,500件以上のリングパスワードが発見された
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
