Droite au Coeur:最初のBubble.ioセキュリティスキャンダルの展開

Also available in :

by

Victor Nihoul

-

Aug 7, 2023

-

🇯🇵 Japanesse

近年、No-Codeの開発プラットフォームは人気を集め、アプリやウェブサイトの作成プロセスを民主化しています。Bubble.ioはこの動きの最前線に立ち、使いやすいインターフェースと多様な機能の範囲で認識されています。しかし、前例のない出来事が最近Bubble.ioコミュニティを揺るがしました - プラットフォーム上に構築されたアプリの重大なデータ漏洩です。初めて、Bubble.ioで作成されたアプリがデータプライバシースキャンダルに公然と巻き込まれ、機密情報がオンラインで漏洩し、Twitterを通じて広く拡散されました。この事件は大きな注目を集め、フランスの全国テレビチャンネルでも報道されるほどでした。これはBubble.ioセキュリティおよびデータプライバシー対策に関連する初の大規模な公然のスキャンダルでした。Droite au CoeurのCEOであるステファンは、明らかなコミュニケーションで嘆きました:

サイトを開発したX社は最初に私たちに自信を持たせ、セキュリティについて保証しましたが、[...] しかし、これは実現しませんでしたし、フォローアップも遺憾でした。

フランス語から翻訳された通り、ステファンは状況によって引き起こされた苦痛を強調しました。この記事では、侵害の具体事項、その後の解決、責任の帰属、およびこの出来事の広範な影響について掘り下げてみましょう。

事件の詳細

マティス・ハメルの暴露

2023年7月29日、Twitterユーザーのマティス・ハメルが衝撃的なツイートを投稿しました。彼は恋愛サイト@CoeurDroiteのチームに直接対応してサイバーセキュリティを優先させるよう要求し、個人データベース全体が侵害のリスクにさらされていることを明らかにしました。ハメルは、結婚状況、性的指向、メールアドレスなどの重要な詳細を含むプラットフォームの脆弱性を暴露しました。

こんにちは @CoeurDroite , さん。サイバーセキュリティに興味を持つのはいいアイデアでしょうか?数秒で貴社の恋愛サイトの個人データベース全体が漏洩する可能性があります。結婚状況、性的指向、メールアドレスなどが含まれています…

影響を受けたアプリ、Droite au Coeurは、フランスの愛国者向けの出会い系サイトであり、しばしば極右の政治的関連性と結びついています。このイデオロギーの傾向が、それを魅力的なターゲットにした可能性が高いです。ハメルは後続のツイートで、欠陥を発見するのがいかに驚くほど容易であったかを詳しく説明し、単にF12を押すことで不具合を発見したことを強調しました。主な問題は、基本的な知識を持つ人々にとって、どのブラウザのデバッグツールを使用してもアプリのデータベースが公開され、簡単にアクセス可能になる緩いプライバシールールでした。その後、ハメルと他のTwitterユーザーは、この侵害の現実 - 驚くほどの単純さ - とハッキングの想像上の複雑さをユーモラスに対比させました。

人々の想像するハッキングと実際の出来事

漏洩したデータの性質

最初、データの漏洩は、アプリを通じて公開される予定のユーザーの詳細(性的指向、結婚状況など)を中心に収集されているように思われました。しかし、ウェブサイトの政治的な傾向を考慮すると、この漏洩はユーザーをイデオロギーに基づく標的にする可能性がありました。単純なスクリプトを使用することで、ユーザーのリストを含むデータベース全体のエクスポートが容易でした。侵害の拡大が明らかになるにつれて、他の非公開データも侵害されていたことが判明しました。これには電子メールアドレスと、最も懸念されることとして、曖昧化されていない精確な地理座標と郵便住所が含まれていました。セキュリティの観点からは、郵便番号の要求に対する回答として、ユーザーが誤って自分の住所全体を提供していることが判明しました。アプリの政治的性質を考慮すると、漏洩されたデータはそのユーザーを嫌がらせやプライバシー侵害の高いリスクにさらしました。さらに、このデータ漏洩は、欧州のGDPR法とフランスのデータプライバシー法を含む複数の規制に違反しており、アプリに対して法的な影響をもたらす可能性があります。

直後の影響と影響

そのツイートはすぐに拡散し、約600万回の閲覧を集めました - 多分、その侵害の政治的な意味合いのためでしょう。Twitterユーザーが元のツイートに関与する中で、この事件はテックメディアで注目され、最終的には国内のテレビチャンネルの注目を集めました。

Extract from the main French TV channel BFMTV. (screenshot)
フランスの主要なテレビチャンネルBFMTVからの抜粋:「Droite au cœur」、『愛国者』向けの出会い系サイトがユーザーデータを漏洩していました。

このニュースが広まるにつれて、アプリは前例のないトラフィックの急増と偽のプロフィールの登録に直面しました。チームは一時的にウェブサイトをメンテナンスおよび問題解決のために閉鎖し、ユーザーの保護に努めました。その後、影響は続き、多くの既存のユーザーが個人データのセキュリティに関する懸念からアカウントを削除するという大きな打撃がありました。この出来事は、Bubbleおよび広範なNo-Codeエコシステムの転換点となっています。Bubbleで構築されたアプリに関与する初の大規模な公共のセキュリティスキャンダルであり、Bubble.ioプラットフォーム内での将来のサイバーセキュリティ対策に大きな影響を与える可能性があります。

責任の割り当て

リスクが関わるすべての出来事においては、誰かを責任を問う慣習があります。今問題となっているアプリは、フランスのBubble.ioエージェンシーによって設計されましたが、重要な問題は、データ漏洩の責任を誰が負うべきかです。Droite au Coeur、アプリのクリエイターが責任を負うべきか、それともアプリを開発したフランスのエージェンシーが負うべきか、あるいはハッカーであるマティス・ハメルに責任があるべきか? この問題の解決はかなり複雑です。

ハッカーのアプローチの評価

著名なホワイトハットハッカーを含むいくつかの個人が、Mathis Hammelの手法の倫理性とリークを公然と明らかにする決定に疑問を呈するためにTwitterを利用しました。

多くのユーザーに影響を及ぼす可能性がある欠陥を公然と暴露するのはあまり倫理的ではありません…

このような脆弱性を公然と露呈する選択肢は、多くのユーザーに潜在的な危険をもたらし、事業への信頼を侵食する倫理的な懸念を引き起こします。実際、こうした侵害の公開開示は、企業の評判だけでなく、事件に責任を負っていないユーザーたちにも危険をもたらす可能性があります。一方で、セキュリティ侵害の可能性を浮き彫りにする一助となり、ユーザーたちにデータの脆弱性を意識させます。私たちが当社を展開する際にも同様のジレンマに直面しました 無料のプライバシールールチェッカー Bubbleアプリ向け。

このような脆弱性を発見した場合の最適な戦略は、問題を修正するためにアプリケーションの所有者に通知することです。アプリケーションの所有者が応答しない場合のデータ漏洩に対処するための指針を、欧州委員会も提供しており、こちらで確認できます: 欧州委員会のデータ漏洩ガイドライン.

情報漏洩を公にするかどうかは個人の選択ですが、違反が修復され、もはや悪用されない状態である必要があります。しかし、この特定の事件では、私たちはハッカーのアプローチに問題を感じています。彼は単にTwitterで騒ぎを起こすためや政治的な動機でデータを漏洩させることを選択し、脆弱性の解決を待たずに行動しました。この決定により、Droite au Coeurの全ユーザーベースが危険にさらされました。

エージェンシーの監視

興味深いことに、このアプリは社内で開発されたわけではなく、フランスのBubble.ioエージェンシーに外部委託されました。Droite au CoeurのCEOはプロセスに対する不満を述べ、「サイトの開発を担当した構造は最善を尽くしましたが、[開発者]が確立したオリジナルのフレームワークは壊滅的で、読めない、理解不能でした。」このエージェンシーは、フランスのBubbleエージェンシーのトップ20にランクインしていますが、まだ公にされていないため、その名前は明らかにしません。当社の今年初めに実施したエコシステムのセキュリティに関する調査は、これと一致しています。トップ100のアプリのうち89%が少なくとも1つの重要なセキュリティの脆弱性を表示していることが分かりました。また、Bubbleエージェンシーによって開発されたアプリの約65%に脆弱性があることも判明しました(私たちの 2023年のレポート:Bubble.ioで作成されたトップ100のアプリのセキュリティに関する包括的な概要) このデータは、多くのエージェンシーが彼らが制作するアプリのセキュリティを確保する点で遅れているという考えを支持しており、これが最初の公的な例であるようです。

Part of apps with sensitive data leaks from the Top 100 Bubble.io apps. Data that could not be identified as either sensitive or secure is referred to as “Unknown”.
トップ100のBubble.ioアプリからの機密データ漏洩の一部。機密情報またはセキュアであると確認できないデータは「不明」として言及されています。

簡単に言えば、このエージェンシーは見落としとセキュリティ侵害に対して責任を問われる可能性があります。ただし、現実はもっと複雑です。多くのエージェンシーと同様に、アプリケーションが完成し公開されると、それはクライアントに引き渡され、完全なコントロールが与えられます。エージェンシーの多くのクライアントは技術的な専門知識がないため、簡単にエラーを起こしたり、プライバシールールの設定を変更したりすることができます。これが今回の事件の元凶でした。誤解されやすい「ノーコード」の概念は、クライアントがアプリケーションの開発が終了した後も簡単に変更を加えることができると信じ込ませることがよくあります。さらに、特定の設定を変更した人物を特定するためにアプリケーションに行われた変更を追跡することはかなりの難題です。エージェンシーの評判への事件の影響は、まだ公に名前が関連付けられていないため、不確かです。ステファンは、「現時点では、[Bubbleエージェンシー]に対して法的攻撃や訴訟を提起する予定はありません」と説明し、会社からの前向きな対応を示しました。

Bubble.ioへの疑問

奇妙なことに、Twitterのフィードやテレビ放送では、アプリがBubble.ioやNo-codeで開発されたことは言及されなかった。これはおそらく、政治的な側面がその影を投げたためだろう。明らかな次の責任の対象はBubbleそのものです。なぜBubbleでそのようなデータの漏えいが起きたのでしょうか?この答えは一筋縄ではいきません。Bubble.ioは堅牢なプラットフォームであり、厳格なデータセキュリティ対策が取られています。しかし、その利便性と使いやすいインターフェースは、深いサイバーセキュリティ知識や現在のデータプライバシー規制の理解に乏しいユーザー層を惹きつけ、エンドユーザーに対する潜在的なリスクを引き起こす可能性があります。この問題は、セキュリティの実践に関する不適切な情報と、以前のまたは既知の脆弱性に関する公開された報告の乏しさによってさらに悪化しています(この事件が最初のものです)。最終的に、Bubbleはアプリを保護するために必要なツールを提供していますが、責任は開発者(エージェンシーおよび個人の両方)にあります。これらのツールを調査し、学習し、実装してアプリケーションのセキュリティを確保する必要があります。最近では、Bubble.ioアプリのセキュリティプロセスを簡素化するためのサードパーティ製のツールが登場しています。セキュリティに対する私たちの鋭い認識にもかかわらず、人為的なミスは常に潜在的な脅威です。フラスク ヴォルト(当社の提供するツール)やNcScaleなどのツールは、Bubble.ioアプリのセキュリティの脆弱性を特定し、修正するための支援をします Flusk Vault (当社の提供するもの)またはNcScaleは、Bubbleアプリのセキュリティの脆弱性を特定し、修正するのを支援します。


将来への影響

これまでにない出来事と言えるでしょうが、この事件は今後多くのものの最初を示しています。この事件をメテオリックな勢いで台頭しているノーコードツール、特にBubble.ioの背景に位置づけることが重要です。Bubble.ioを介して開発されるアプリケーションの数が増加するにつれて、より多くのアプリケーションがセキュリティの脆弱性を含むことは避けられません。したがって、私たちはエコシステムのセキュリティと信頼性を保つためにプライバシーとデータセキュリティへの執拗な焦点を維持する必要があります。より広範な文脈に踏み込むと、この事件はノーコードプラットフォームを取り巻くセキュリティへの懸念がエスカレートしていることを強力に示しています。これらのプラットフォームを通じてアプリの開発に初心者が進出するにつれて、誤ってセキュリティのミスが増加し、サイバー脅威のための熟した環境が生まれます。ノーコードの領域では、ハッカーの景色もより複雑で危険性が高まっており、熟練したハッカーがこれらの脆弱性を特定し、自身の利益のために悪用しています。

Growth curve of the number of apps running on Bubble.io between 2013 and 2022. Source BuiltWith.
2013年から2022年までの間にBubble.io上で実行されているアプリの数の成長曲線 ソース: BuiltWith.

私たちはDroite au Coeurが必要な手順を踏んでセキュリティの脆弱性を修正し、これからはユーザーを保護していることを確認しました。このような事件の後、興味深い問題は、セキュリティ侵害の後に企業が信頼を取り戻すことができるかどうかです。歴史は様々な例を提供しています。Adobeのような一部の企業は、堅牢なセキュリティ対策を導入し、ユーザーデータの保護への取り組みを示すことで、データ侵害の後でも強く立ち直ることができました。しかし、他の企業は消費者の信頼を取り戻すことに苦労し、評判が傷つくこともあります。企業が侵害にどのように対応し、ユーザーとのコミュニケーションをどのように行うかに多くがかかっています。時間が経過するにつれて、Droite au Coeurがどのような軌道をたどるかがわかるでしょう。