「リートン」に脆弱性 ～データベースからユーザー情報を窃取可能な問題を修正

リートンテクノロジーズジャパン、「リートン」で、脆弱性を修正したことを報告

　（株）リートンテクノロジーズジャパンは3月19日、無料・無制限で「GPT-4」を使えるコンテンツ生成プラットフォーム「リートン」（wrtn）で、脆弱性を修正したことを報告した。

　同社によると、高い技術力をもったユーザーからの報告があり、2023年11月30日にデータベースシステムの一部設定に不備があり、特殊な操作を行うことで外部からデータベースへアクセス可能な状態であることが確認されたとのこと。2023年12月8日には当該箇所を含む脆弱な部分の修正が完了し、外部セキュリティ専門家の監査で問題がないことが確認されている。さらに、2024年1月23日にはシステム全体のセキュリティ強化を行ったとしている。

　この脆弱性により、ユーザーのニックネームや入力したプロンプト、アカウント登録に使用したメールアドレスやLINE UIDなどが窃取、編集可能だった。しかし、現時点ではデータを悪用された報告はないという。

　同社は、2024年4月からセキュリティコンサルティングを導入し、セキュリティ強化を実施する。また、社内のセキュリティ担当者を増員するとともに、今後は外部のセキュリティ専門企業によるチェックや、セキュリティ実装を継続的に行っていくとしている。