advertisement
Tchapはフランスの国家情報システムセキュリティ庁であるANSSIの監督の下、政府のデジタル関連機関DINSICによって開発された。DINSICによると、Tchapの利用には国家公務員のメールアドレスが必須で、一般人は利用できないとされていた。
しかし、アプリの公開からわずか90分後にセキュリティ研究者のロバート・バプティストがMediumで、このアプリが公務員でなくても簡単に利用できるとの記事を公開した。バプティストはアプリのソースコードを少しいじるだけで、Tchapから認証メールを受け取り、アカウントを作成できたと発表した。
さらに、Tchap内に開設された政府関係者専用のチャットルームに入ることも可能だったという。
advertisement
筆者がバプティストにコメントを求めたところ、彼は「誰でも間違いは犯すし、脆弱性のあるアプリをリリースしてしまうことはある」と回答した。彼はMediumの記事を公開した当日に、フランスの政府関係者と電話で話し、アプリの問題について報告したという。
その後、政府はアプリのバグを修正し、バプティストが指摘した方法で一般人がTchapを利用することはできなくなった。
フランス政府は声明で「DINSICは専門家の意見に耳を傾ける。アプリの脆弱性は数時間で解消された」と述べた。政府は今後、Tchapのセキュリティ強度をさらに高めるために、奨励金を用意してバグ発見コンテストを開催すると述べている。
