プライバシーだだ漏れの出会い系アプリを大学生が発見

イェール大学でコンピューターサイエンスを専攻している26歳の学生のアレックス・シャピロ氏が、「Cerca」という新興の出会い系アプリに重大なセキュリティリスクがあることを突き止めたと報告しました。

Yale student exposes data leak in college dating app - Yale Daily News
https://yaledailynews.com/blog/2025/04/24/yale-student-exposes-data-leak-in-college-dating-app/

How Broken OTPs and Open Endpoints Turned a Dating App Into a Stalker’s Playground | Alex Schapiro
https://alexschapiro.com/blog/security/vulnerability/2025/04/21/startups-need-to-take-security-seriously

シャピロ氏がこの問題に取り組んだきっかけは、シャピロ氏の友人がCerca上に「君に秘密のファンがいる」とほのめかす不審なテキストメッセージを受け取ったことです。出会い系アプリは大量の個人情報を必要とするため、シャピロ氏は友人がCercaを使い始める前に、その安全性を確かめてみることにしました。

まず、シャピロ氏がiOS向けに一般公開されているプロキシアプリを使ってCercaの挙動を確認してみたところ、ワンタイムパスワード(OTP)が読み取れてしまうことが判明しました。これは、電話番号さえあれば誰でもアカウントにアクセスできてしまうことを意味しています。

さらに、セキュリティや侵入テストで使われているツールを使って通信内容を解析したところ、アプリが実行できるすべての機能をリストアップした開発エンドポイントが丸見えになっていることがわかりました。そして、そこから「ユーザー」と名付けられたエンドポイントにアクセスしてみた結果、データベース内の各アカウントのあらゆる情報が公開されてしまっていたとのことです。

シャピロ氏が、有効なIDを特定する簡単なPythonスクリプトを書いたところ、データベースから名前や性別、年齢といった基本的な情報や、パスポートや運転免許証のスキャンデータ、性的指向など非常に機密性の高い情報を洗いざらい引き出すことができてしまいました。

例えば、スクリプトが特定したユーザー6117人のうち、イェール大学の学生は19人いたとのこと。プライバシーを侵害しないため、シャピロ氏は具体的なデータの中身までは閲覧していませんが、悪意ある人物がこの脆弱(ぜいじゃく)性を悪用した可能性は十分あります。

ジョージタウン大学と南カリフォルニア大学の学生が立ち上げたCercaは、イェール大学を含む複数の大学で展開されている出会い系アプリで、使うには少なくとも1人は共通の連絡先を持つ潜在的なマッチング相手がいなければなりません。そのため、Cercaはサービスの安全性を強調していますが、シャピロ氏の調査結果はそうではないことを意味しています。

そこで、シャピロ氏は問題に気づいた翌日の2025年2月24日に、Cercaに連絡を取って情報提供しました。すると、Cercaの担当者は問題の深刻さに理解を示し、シャピロ氏に感謝を表してから、速やかに問題に取り組み、被害を受けたユーザーに通知することを約束しました。

ところが、それから2回にわたってシャピロ氏が対応状況の進捗を確認したにもかかわらず、Cercaからは音沙汰がなく、被害を受けたユーザーにインシデントについての連絡が行われた形跡もありませんでした。

そこで、シャピロ氏は脆弱性が修正されたのを確認してから、4月21日にこの問題の公開に踏み切りました。

Cercaは、イェール大学の学生が刊行している独立系の大学新聞であるThe Yale Daily Newsに対し、「善意の研究者を名乗る人物から潜在的なセキュリティ上の懸念事項について報告を受け、直ちに対策を講じました。具体的には、即日修正プログラムを導入し、外部のサイバーセキュリティ企業にプラットフォームの監査とシステム強化を依頼しました。当社の設立以来、他の不正な第三者がユーザーデータにアクセスしたことを示す証拠は一切ありません」と述べました。

しかし、イェール大学が位置するコネチカット州では、データ侵害があった場合は、60日以内に州の司法長官と消費者の両方に報告することが義務付けられており、シャピロ氏が通報したセキュリティの問題をユーザーに告知していないCercaの対応は州法違反のおそれがあります。

イェール大学ロースクールのサイバーセキュリティ研究者であるショーン・オブライエン氏は、「問題のデータにパスポートのスキャンデータや性的指向、プライベートメッセージなどが含まれる場合、これは単なる気持ちの問題にとどまらず、人の身の安全を深刻な危険にさらすことになります」と指摘しました。

また、シャピロ氏は「悪意のある人物がこの問題を悪用すれば、個人情報の盗難、ストーカー行為、恐喝など、ありとあらゆる事件につながっていた可能性があります。このようなタイプの脆弱性は本当に恐ろしく、一夜にして人生を台無しにする可能性があります。ですので、ユーザーは流行しそうなアプリに飛びついたりせず、セキュリティを第一に考えて下さい」と呼びかけました。