オンライン指導プラットフォームUStriveで大規模な個人情報漏洩が発生
オンライン指導プラットフォームのUStriveが、ユーザーの個人情報を露呈するセキュリティ欠陥を修正したと報じられました。この情報漏洩は、子供を含む多数のユーザーに影響を及ぼし、氏名、メールアドレス、電話番号、その他非公開のユーザー提供情報が、ログイン中の他のユーザーからアクセス可能な状態にありました。
漏洩の詳細と技術的な脆弱性
TechCrunchに匿名の情報提供があったことにより、このセキュリティ欠陥が明るみに出ました。調査によると、UStriveは脆弱なAmazonホストのGraphQLエンドポイントを利用しており、これによりサーバーに保存された膨大なユーザーデータへのアクセスが許されていました。一部のユーザー記録には、性別や生年月日といったより詳細な情報も含まれていたとされています。
発見時には少なくとも23万8,000件のユーザー記録がアクセス可能でしたが、UStriveのウェブサイトでは「110万人以上の学生がUStriveのメンターを希望している」と記載されており、影響を受ける可能性のあるユーザー数はさらに多いことが示唆されています。
UStriveの対応と情報開示への懸念
TechCrunchがUStriveにこのデータ漏洩について通知した後、同社のジョン・D・マッキンタイア弁護士は、元ソフトウェアエンジニアとの訴訟を理由に、会社としての対応に「ある程度の制限がある」と述べました。その後、最高技術責任者(CTO)のドウィアミアン・マクレイシュは、情報漏洩は「修正された」とTechCrunchに電子メールで伝えました。
しかし、UStriveは、ユーザーへの情報漏洩の通知計画や、不正アクセスがあったかどうかの確認能力、さらにはプラットフォームがセキュリティ監査を受けているか否かについては回答を避けています。 創設者のマイケル・J・カーターもコメントを控えています。
今後の課題とユーザーへの影響
本件は、特に子供の個人情報が絡んでいる点で、深刻な懸念を提起しています。UStriveがユーザーに対して透明性のある情報提供を行わない姿勢は、信頼性の低下を招く可能性があります。このような状況下で、影響を受けたユーザーが自身のデータがどのように扱われたかを知る権利と、企業の説明責任が強く求められます。