- ニュース
Secretの根底にあるのは、完全な匿名性を保ちながら、自分のソーシャルサークルに何でも共有できるというアイデアです。ユーザーの身元は隠され、それがアプリの楽しさや魅力につながるはずです。
結局のところ、Secretで誰が本当に誰なのかを確認するのはそれほど難しくありません。問題は、相手のメールアドレスが必要なことです。
Wired は、iPhone で簡単な連絡先のなりすましを行って Secret の匿名性を破ったベン・コーディルという名のホワイトハットハッカーに話を聞いた。
Secretの仕組みは、連絡先リストまたはFacebookアカウントへのアクセスを許可することで、アプリを使用している他の知り合いを見つけるというものです。そして、彼らの投稿は匿名でアプリ内に集約されます。Caudill氏はハッキングを行うにあたり、連絡先との連携を利用してSecretを悪用しました。
コーディル氏の最初のステップは、偽のSecretアカウントを大量に作成することだった。Secretではメールアドレスや電話番号の認証が不要なので、これは簡単だ。コーディル氏は実験用に50個のアカウントを迅速に作成する簡単なスクリプトを書いたが、Secretの秘密共有閾値を満たすのに必要なのはたった7個だった。
次に、彼はiPhoneの連絡先リストからすべてを削除し、偽のメールアドレス7つを連絡先に追加しました。そして、さらにもう1つ追加しました。それは、彼が秘密を暴露したいと思っていた人物、つまり私のメールアドレスでした。
それから彼はまた別の新しいSecretアカウントに登録し、連絡先を同期しました。すると、新たに空白のSecretフィードが作成され、8つのアカウントをフォローするようになりました。そのうち7つは彼が作成・管理するボットアカウントで、もう1つは私のアカウントです。「友達」が投稿したように見えるものはすべて、論理的には私のものになります。
彼のハッキングが機能する唯一の方法は、その人の電子メールアドレスを持っていることですが、そもそもその人があなたの連絡先に載っていれば、それは難しくないでしょう。
Caudill氏は既にSecretのハッキングを改修しており、近い将来にバグ修正が行われると予想されます。Secretは、Flickr画像検索、アンケート機能、その他のプライバシーに関する変更を加えたアップデートをリリースすると発表しています。
奇妙なことに、ブラジルの裁判所は最近、匿名性が同国で違法であるとして、Appleに対しSecretをApp Storeから削除するよう命じました。今回のハッキング事件を受けて、ブラジルはおそらくこの決定を再考すべきでしょう。
