保護者が子供のスマートフォンのオンライン活動を監視できるサービス「TeenSafe」から、10,200件のApple IDユーザー名とパスワードが漏洩しました。さらに悪いことに、すべての情報は平文で保存されており、このサービスでは2段階認証を無効にする必要がありました。

2台のTeenSafeサーバーは、場所さえ知っていれば誰でもアクセス可能だったようです。サーバーには、親のメールアドレスに加え、子供のApple IDのメールアドレスとパスワードが平文で保存されていました。

ZDNetによると、この問題はセキュリティ研究者のロバート・ウィギンズ氏によって発見された。AmazonのAWSでホストされている両サーバーは現在オフラインとなっている。TeenSafeは、影響を受けたアカウントの保護者に通知を行っていると述べている。

TeenSafeは、自社のサービスは安全でデータを暗号化していると主張しています。しかし、今回のケースでは、その主張とは全く逆のことが起こっているようです。

サービス利用時に2要素認証を無効にすることを義務付けることは、セキュリティ上、侮辱的な行為のようにも思えます。なぜなら、ログインを保護する唯一の手段、つまりログインプロセスを続行するための特別なコード入力を不要にしてしまうからです。2要素認証がなければ、データベースにアクセスした人は誰でも、iCloudに保存されているメール、連絡先、書類など、すべてのApple IDアカウントに自由にアクセスできることになります。

お子様のiPhoneやその他のスマートフォンのアクティビティを監視するためにTeenSafeをご利用の場合は、安全のために今すぐApple IDのパスワードを変更してください。このサービスでは2ファクタ認証を無効にする必要があるため、お子様のオンラインアクティビティを確認する別の方法を検討する必要があるかもしれません。

TeenSafeは「親が親のために作った」と謳っています。暗号化とセキュリティを理解している親を探すべきだったのかもしれません。