セキュリティ企業のFallible、インドネシアのオートバイ版配車アプリの「Go-Jek」で重大なデータ漏洩が発生と警告——Go-Jekは解決済と主張

SHARE:
Image Credit: GoJek

Go-Jek はインドネシアで史上最高の評価額がついたスタートアップで、同国における Grab と Uber のライバルだ。インドのセキュリティ企業 Fallible は、Go-Jek に重大なセキュリティ上の欠陥があることを発見した、と主張した。それに対し Go-Jek 側は、その問題はすでに解決済みだとしている。

Fallible は Hackernoon のブログ上で、その発見について公表した。インターフェーステクノロジー企業は他のサービスとデータを交換できるように API エンドポイントを設定しているが、Fallible はそうした API エンドポイントの欠陥を検出することに特化した企業だ。API が適切に保護されていない場合、データ漏えいが発生し、予期せぬ方法で個人情報が抜き取られる危険性がある。

Fallible によれば、Go-Jek の場合、乗車履歴 API から情報を抜き取ることが可能で、その乗車履歴 API を利用すれば、乗車中の GPS 座標を含むあらゆるユーザの乗車に関する情報をすべて読み取ることができるという。

また、脆弱性につけ込み、顧客がアプリを通じて行った注文の詳細な情報を閲覧することも可能だという。さらに同社は、ユーザが受け取る通知にも干渉する恐れのある方法も発見している。

Fallible が Tech in Asia に明かした情報によると、別の API にも問題があり、そこからも電話番号、乗車地点・降車地点を含むユーザデータが流出したが、この問題はすでに解決されているとのことだ。

2_Screen-Shot-2017-03-29-at-5.03.17-PM
インドのセキュリティ企業 Fallible はデータ漏えいの危険性について Hackernoon の記事中で公表した

数日前に Fallible が調査結果を公表することに決めた時点で、その他の欠陥については未解決の状態だったと思われる。その決定に先立ち、Fallible は Go-Jek に対して、セキュリティ上の欠陥に対処するための数ヶ月の猶予を与えている。

解決すべき問題に食い違い

一方で、Go-Jek の最高情報セキュリティ責任者 Sheran Gunasekera 氏の主張とは、時間がずれている。

同氏によると、6月に Fallible が初めて Go-Jek に連絡してから間もない7月末には情報漏えいすべてに対処し、解決していたと述べている。

私たちに問題がなかったと主張しているわけではありません。ただ、私たちはお客様データの保護に真摯に取り組んでいます。(Sheran 氏)

15年間情報セキュリティに携わってきた彼は、Go-Jek のような大手テック企業の欠陥探しが業界の慣行になっていることを承知している。そして彼は、Fallible が行ったような責任ある開示を高く評価している。

しかし、Fallible の投稿記事の内容について改善すべき点があると Sheran 氏は指摘する。

あの投稿は具体性に欠けています。通常であれば、どの問題が未解決で、どの問題が解決済みなのかといった、技術的な詳細が付いています。

Go-Jek がバグ報奨金プログラムを運営していると Sheran 氏は述べる。このプログラムは、ハッカーがバグを発見したら Go-Jek に報告してもらい、その代わりに報酬を与えるというものだ。

Fallible への返事として、Go-Jek は自身もブログに投稿する予定であると Sheran 氏は言う。

Go-Jek がセキュリティ上の問題で非難されるのは今回が初めてではない。 2016年1月の初め頃、タイに拠点を置くインドネシアのプログラマーも Go-Jek アプリにまだ多くのバグが残っていると主張し、同様に情報を公表した。

現在、Go-Jek は決済企業へと進化を遂げようとしているところであり、セキュリティ問題は同社にとって深刻な懸案事項だ。 Go-Payでは、ユーザがクレジットを購入してアプリに入れておき、あとで買い物に使うことができる。同社は最近、ユーザ間の Go-Pay クレジット送金と提携銀行での現金引き出しの試験運用を開始した。

Fallible は今回の件で、データ保護の重要性について認識が高まることを期待している。

私たちの経験では、データセキュリティやプライバシーに関する法律の整った市場で営業している企業は、開発に時間やお金をかけるように、セキュリティへの投資に力を入れる傾向があります。これは罰則や訴訟を避けるためです。残念ながら、現在、インドネシアを含め東南アジアはそうした状況にはありません。これらのサービスを利用する人々は、今こそ情報漏えいとその影響を認識すべきなのです。

【via Tech in Asia】 @techinasia

【原文】

BRIDGE Members

BRIDGEでは会員制度の「Members」を運営しています。登録いただくと会員限定の記事が毎月3本まで読めるほか、Discordの招待リンクをお送りしています。登録は無料で、有料会員の方は会員限定記事が全て読めるようになります(初回登録時1週間無料)。
  • 会員限定記事・毎月3本
  • コミュニティDiscord招待
無料メンバー登録