Forum Academy Marketplace Showcase Pricing Features

【注意喚起】適切なセキュリティ設定 (Privacy Rules) にしてますか?

国内外多くのBubbleアプリで、不適切な設定のため、個人情報が漏洩しています。

注意喚起のためにトピックを立てました。

明確な再現方法についてはここでは触れませんが、今まで開発されたアプリについて、2点確認されることをおすすめします。

① Data APIが公開設定になっている

これは非常に深刻な状況で、ブラウザからData APIのURLにアクセスするだけで、データが取得可能です。
(イメージとしては、Google Spreadsheetに会員情報を公開設定にしているのに近い状況です。)

BubbleのSetting画面内にある、Data APIのチェックが入っていないことを確認してください。


Enable Data APIに加え、下のUserなどに✓が入っている場合、すでに個人情報が漏洩している状況です。(ただし、②が対策済みの場合は問題ありません。)

② Privacy Rulesが設定されていない

Bubbleのチュートリアルに従い、適切にプライバシールールを設定してください。

個人情報が格納されているData type(Userなど)のEveryone else (default permissions)のView all fieldsにチェックが入っている場合、JavaScriptに関する基本的な知識を持ち合わせている攻撃者が容易に個人情報を取得可能な状況です。

被害の確認方法

設定ミスがあった場合、いずれの場合でも、残念ながらBubbleでは漏洩があったかどうか、ログを確認する方法はないと思います(あればコメント等でご指摘ください)

直ちに対策したうえで、必要な対応を取る(または取るように事業会社とコミュケーションを取る)ことをおすすめします。
https://www.ppc.go.jp/personalinfo/legal/leakAction/leakAction_detail/

4 Likes