Malwarebytesは8月19日(米国時間)、「Hacked GPS tracker reveals location data of customers|Malwarebytes」において、位置追跡デバイスを販売するTrackiの社内向けツールから約1,200万人のユーザーデータを窃取可能な脆弱性が発見されたと報じた。これは、開発者兼ハッカーのmaia arson crimew氏が公開したブログ「stardom dreams, stalking devices and the secret conglomerate selling both」により明らかにされた。

  • Hacked GPS tracker reveals location data of customers|Malwarebytes

    Hacked GPS tracker reveals location data of customers|Malwarebytes

情報漏えいの可能性

Malwarebytesによると、maia氏はTrackiの位置追跡デバイスを調査中、顧客向けポータルサイトの背後に多くの管理およびサポートツールが存在することを発見したという。そして、これらツールにアクセスするための共通かつ単一の認証情報を発見しアクセスすることに成功したとしている。

サポートツールの一つに「Trackimo Troubleshooter」と呼ばれるリモートデバッグツールがあり、これを使用するとデバイスIDを入力するだけでほぼすべてのデータを表示できるとされる。また、デバイスIDは標準化されたフォーマットに従うため、簡単なスクリプトを書くだけですべてのデータを取得可能とみられている。

脆弱性の影響

発見された問題は記事公開前にmaia氏からTrackiに通知され、ほぼすべてが修正されたという。そのため、同様の手段による情報漏えいの可能性は低いとされる。

Malwarebytesは位置追跡デバイスの利用者に対し、本人以外による追跡の可能性があるとして安全に配慮した利用を求めている。また、同様の監視デバイスを販売する企業は、ユーザーが期待するほどセキュリティに投資していないとして注意するよう呼びかけている。