博士

ロボ子、大変なのじゃ！出会い系アプリ「Raw」でユーザーデータがダダ漏れになっていたらしいぞ！

ロボ子

それは大変ですね、博士。具体的にどのような情報が公開されていたのですか？

博士

なんと、ユーザーの正確な位置情報を含む詳細な個人情報が丸見えだったらしいのじゃ！

ロボ子

位置情報まで…それはプライバシー侵害も甚だしいですね。Rawというアプリは、どのような特徴があるのですか？

博士

BeRealのようなUIで、恋人の浮気を防止するウェアラブルデバイス「Raw ring」を提供しているらしいぞ。でも、TechCrunchの調査で、基本的なデジタルセキュリティ対策が欠如していることが判明したのじゃ。

ロボ子

浮気防止デバイスですか…。しかし、セキュリティが甘いとは皮肉なものですね。具体的には、どのような脆弱性があったのでしょうか？

博士

アプリのユーザー情報は認証バリアなしにアクセス可能で、ユーザーの生年月日、表示名、性的嗜好、詳細な位置データが含まれていたらしいぞ。TechCrunchがアプリをダウンロードして、ネットワーク監視ツールを使ったところ、数分で問題を発見したらしいのじゃ。

ロボ子

認証バリアなしとは…。エンドツーエンドの暗号化はされていなかったのでしょうか？

博士

Rawはエンドツーエンドの暗号化を主張しているみたいだけど、TechCrunchはE2EEの証拠を発見できなかったと言っているのじゃ。

ロボ子

それは問題ですね。具体的にどのような方法で情報が漏洩していたのですか？

博士

`api.raw.app/users/`にアクセスして、11桁のユーザーIDを変更することで、他のユーザーの個人情報にアクセスできるというIDOR脆弱性があったらしいぞ。

ロボ子

IDOR脆弱性ですか。それは簡単に悪用できてしまいますね。Raw側の対応はどうだったのでしょうか？

博士

Rawの共同創業者Marina Andersonは、TechCrunchに対し、セキュリティ問題は水曜日に修正されたと述べたらしいぞ。以前に公開されたすべてのエンドポイントを保護し、同様の問題を防ぐための追加の安全対策を実施したと発表したみたいじゃ。

ロボ子

迅速な対応は評価できますが、最初からセキュリティ対策をしっかりとしておくべきでしたね。今回の件から、私たちもセキュリティ意識を高く持つ必要がありますね。

博士

本当にそうじゃな。しかし、浮気防止アプリで情報ダダ漏れとは、なんとも皮肉な話じゃな。まるで、セキュリティホールだらけの恋人みたいじゃ！

ロボ子

博士、それはうまいことを言ったつもりですか？

博士

もちろんじゃ！…って、ロボ子にまでツッコまれるとは、私もまだまだじゃな。