- Lifeprintアプリの漏洩で200万件のプライベート写真とユーザー情報が流出
- 誤ったストレージ設定により、ファームウェアキーも公開され、悪意あるプリンター乗っ取りのリスクが発生
- 流出したデータにより、ユーザーは恐喝、個人情報盗難、嫌がらせの脅威に直面
重大なプライバシーインシデントにより、Lifeprintというポータブル写真プリンターシステムから、数百万件のプライベート写真が流出しました。
この漏洩はCybernewsの研究者によって明らかになり、認証なしでアクセス可能な800万件以上のファイル(うち200万件はユニークな写真)が公開されていたことが判明しました。
Lifeprintは2003年設立のニュージャージー州の企業C+A Globalが製造しており、ユーザーはスマートフォンから直接、接続されたデバイスや友人のプリンターに画像やGIFを送信できます。iOSおよびAndroid向けのアプリがあり、Android版はGoogle Playで10万回以上ダウンロードされています。
160万枚以上の写真が印刷
研究者によると、この漏洩は誤った設定のストレージバケットが原因で、機密ファイルが誰でもオンラインでアクセスできる状態になっていました。
流出したデータには、10万人以上のユーザーのユーザー名、メールアドレス、印刷統計情報が含まれていました。
メタデータによると、コミュニティ全体で160万枚以上の写真が印刷されています。
セキュリティ問題は画像の流出だけにとどまらず、Lifeprintの複数バージョンのファームウェアも同じ公開バケットに保存されており、その中にはファームウェアアップデートの署名に使われる秘密の暗号鍵が平文で含まれていました。
この鍵を使えば、攻撃者は悪意のあるファームウェアを作成し、正規のアップデートとして配布できる可能性があります。
このシナリオが現実となれば、ハッカーがプリンターを乗っ取り、自身のコードを実行したり、デバイスをボットネットに組み込んだりすることも可能になります。
「これはIoTインフラで絶対にやってはいけない典型例です」とCybernewsの研究者は述べています。
「この漏洩は、ユーザーデータの適切な分離を行わない、ファームウェアと一緒に暗号鍵を公開する、適切なアクセス制御を実施せず本来のユーザーだけが自分のファイルやデータにアクセスできるようにしないなど、ベストプラクティスからの複数の逸脱を示しています。」
Lifeprintユーザーにとっては、個人情報と写真が組み合わさることで、個人情報盗難、嫌がらせ、ドクシング(個人情報晒し)のリスクが高まります。
特に親密な写真が流出した場合、恐喝やゆすり、あるいはネット上で公開されることで長期的な社会的ダメージを受ける可能性があります。
Cybernewsは今回の発見についてLifeprintの親会社に連絡を取ったものの、まだ返答は得られていないとしています。この漏洩は2025年7月下旬に初めて検出され、現時点で公式な声明は発表されていません。
