【注意喚起】適切なセキュリティ設定 (Privacy Rules) にしてますか?

国内外多くのBubbleアプリで、不適切な設定のため、個人情報が漏洩しています。

注意喚起のためにトピックを立てました。

明確な再現方法についてはここでは触れませんが、今まで開発されたアプリについて、2点確認されることをおすすめします。

① Data APIが公開設定になっている

これは非常に深刻な状況で、ブラウザからData APIのURLにアクセスするだけで、データが取得可能です。
(イメージとしては、Google Spreadsheetに会員情報を公開設定にしているのに近い状況です。)

BubbleのSetting画面内にある、Data APIのチェックが入っていないことを確認してください。


Enable Data APIに加え、下のUserなどに✓が入っている場合、すでに個人情報が漏洩している状況です。(ただし、②が対策済みの場合は問題ありません。)

② Privacy Rulesが設定されていない

Bubbleのチュートリアルに従い、適切にプライバシールールを設定してください。

個人情報が格納されているData type(Userなど)のEveryone else (default permissions)のView all fieldsにチェックが入っている場合、JavaScriptに関する基本的な知識を持ち合わせている攻撃者が容易に個人情報を取得可能な状況です。

被害の確認方法

設定ミスがあった場合、いずれの場合でも、残念ながらBubbleでは漏洩があったかどうか、ログを確認する方法はないと思います(あればコメント等でご指摘ください)

直ちに対策したうえで、必要な対応を取る(または取るように事業会社とコミュケーションを取る)ことをおすすめします。
https://www.ppc.go.jp/personalinfo/legal/leakAction/leakAction_detail/

10 Likes

初めまして。
DataAPIにチェックを入れないとできないことがあるためチェックを入れてるのですが、この状態でセキュリティを高める方法はありますか?

基本的には、全てのData typeの全てのフィールドについて、全件取得されても問題ないものだけ、View権限を与えれば良いかと思います。

1 Like

引き続き、Privacy Rulesに関し、問題のあるサイトが多くみられる状況です。

Privacy Rulesの重要性ついて、より具体的に理解していただくため、実例を2例掲載しました。

また、安全なサイトを作るためにも、下記のような項目に留意することをお勧めします。

  • 公式チュートリアル・マニュアルは一読する。(日本語のブログ記事等では不正確なものも多いです)
  • 個人情報等の機密情報を扱うサイトの場合、公開前、また定期的に第三者観点からの監査を検討する。
  • データベースのアクセス証跡が取得できないため、機密性の非常に高いサイトはBubble以外での製作を検討する。
2 Likes