『Quittr』ポルノ依存症アプリが数十万ユーザーの自慰習慣データを流出
ポルノ依存症対策アプリ「Quittr」が、数十万ユーザーの極めてセンシティブな個人データ(自慰習慣など)を漏洩し、開発者は脆弱性を数ヶ月間放置した上にセキュリティ問題について嘘をついていたことが404 Mediaの調査で明らかになった。
キーポイント
大規模なセンシティブデータ漏洩
ポルノ視聴を止めることを支援すると謳うアプリ「Quittr」が、数十万ユーザーの年齢、自慰の頻度、ポルノ視聴時の感情など、極めて私的なデータを漏洩させた。漏洩データには未成年者の情報も含まれていた。
開発者の不誠実な対応と脆弱性の長期放置
開発者のAlex SlaterとConnor McLarenは、独立研究者から2025年9月に脆弱性を指摘され即時修正を約束したが、実際には数ヶ月間放置した。その後、漏洩データの存在を否定するなど、セキュリティ問題について嘘をついていた。
Google Firebaseの一般的な設定ミスが原因
漏洩の原因は、アプリ開発プラットフォーム「Google Firebase」の一般的な設定ミス(誤設定)であり、独立研究者が同様の問題を抱える数十のアプリを発見した。Quittrはその一つだった。
開発者の背景と矛盾する行動
Quittrの開発者は「App Mafia」と呼ばれるグループの一員で、アプリが月50万ドルを稼ぎ、贅沢な生活を送っていると報じられている。しかし、その成功にもかかわらず、重大なセキュリティ脆弱性の修正に必要なリソースや意思を欠いていた。
報道の倫理的配慮
404 Mediaは、脆弱性が修正される前にアプリ名を公表するとユーザーがハッカーによる脅迫などの危険にさらされるため、修正が行われるまで報道を控え、アプリ名を伏せていた。
影響分析・編集コメントを表示
影響分析
この事件は、特にメンタルヘルスや嗜癖対策といったデリケートな領域のアプリが、ユーザーの絶対的な信頼と極めて私的なデータに依存していることを浮き彫りにした。開発者の倫理観、セキュリティへのコミットメント、そして規制のあり方が、ユーザー保護と業界の信頼性を確保する上で決定的に重要であるという教訓を提供している。
編集コメント
経済的成功を謳う開発者像と、セキュリティ軽視の実態との対比が印象的。『解決を約束するアプリ』自体が、ユーザーに新たな深刻なリスクを生み出すという皮肉な構図は、テック業界全体への警鐘と言える。
タイトル: ポルノ視聴をやめるためのアプリ「Quittr」、数十万人のユーザーの自慰習慣を含む機密データを漏洩
image男性のポルノ視聴をやめさせるとうたうアプリ「Quittr」が、数十万人のユーザーに関する自慰習慣を含む機密データを漏洩し、セキュリティ問題について虚偽の説明をしていたことを、404 Mediaが明らかにした。
私は1月、Quittrがユーザーデータを公開していた事実を最初に報じたが、その記事ではアプリ名を伏せた。開発者のAlex SlaterとConnor McLarenが、複数回の要請および独立した研究者からの問題修正支援の申し出にもかかわらず、セキュリティ問題を修正しなかったためである。ハッカーが依然としてQuittrのユーザーデータを容易に窃取できる状況でアプリ名を公表すれば、ユーザーのプライバシーを危険にさらし、現在非常に一般的なハッカーによる恐喝のリスクに晒すことになっただろう。漏洩したデータには、ユーザーの年齢、自慰の頻度、ポルノ視聴が及ぼす心情的影響などが含まれていた。データによれば、その多くは未成年であった。
Quittrは、いわゆる「App Mafia」のメンバーであるSlaterとMcLarenによって運営されている。App Mafiaは20代前半の男性グループで、モバイルアプリ開発で数百万ドルを稼いだと主張している。SlaterとMcLarenは最近、ニューヨーク・マガジンの長編人物記事で取り上げられ、Quittrの成功がもたらした豪勢な生活様式——例えばエキゾチックなスーパーカーの運転やマイアミの豪邸での生活——が詳述されていた。Slaterは個人のYouTubeチャンネルでも自身の生活様式に関する動画を公開している。
Slaterは、Quittrが150万回以上ダウンロードされ、月に50万ドルを稼いでいると主張する。しかし、こうした驚異的な数字にもかかわらず、開発者らは何らかの理由で数ヶ月間、アプリの重大なセキュリティ脆弱性を修正できず、また修正する意思もなかった。
私は、独立した研究者からQuittrの脆弱性について最初に知らされた。その研究者はGoogle PlayストアとApple App Storeをスキャンし、アプリ開発プラットフォームであるGoogle Firebaseを利用するアプリに共通する設定ミスを探していた。当メディアが、同じ問題によりTeaアプリが壊滅的なハッキング被害を受けたと報じた後、研究者は両ストアの人気アプリ数百点をテストした。その結果、Quittrを含む数十のアプリに同じ問題があることを発見したが、極めて機微で個人的なデータがユーザーを危険に晒す可能性があるため、公開された開示ではQuittrの名を挙げなかった。
研究者によれば、2025年9月10日に直接Slaterに連絡し、Quittrの脆弱性を伝えたという。
「これは完全に私の落ち度です。もっと気を配るべきでした。あなたがデータベースを抽出した方法は非常にクリエイティブでした」と、Slaterは404 Mediaが確認した一連のWhatsAppメッセージで研究者に伝えた。「その点は称賛しますが、繰り返しますがこれは深刻なデータであり、まったく良い状況ではありません。今すぐ修正に取り組んでいます!1時間以内に直します。」
しかし、SlaterとMcLarenは数ヶ月間この問題を修正しなかった。私は1月にSlaterに電話し、目にした機微なユーザーデータの一部を伝え、研究者に修正すると約束した後でも、なぜ脆弱性を放置したのかを尋ねた。
「機密情報が公開されている事実はありません。それは単に事実無根です」と、Slaterはその時点で私に語った。「これらのユーザーは私のデータベースに存在しません。ですから、その人物には注意を払わないだけです。これは少しばかり戯言だと思っています。[...] 私のエンジニアと確認したところ、これは一度も問題となったことはありませんでした。」
私が、以前なぜ研究者に責任ある開示を感謝し、すぐに修正すると伝えたのかをSlaterに尋ねると、彼は「良い一日を」と言って電話を切った。
電話の後、私はアプリでアカウントを作成した。研究者は、誤って設定されたGoogle Firebaseにそのアカウント情報が表示されるのを確認し、ユーザー情報が依然として公開されていることを確かめた。その後、私はSlaterおよび見つけ出したQuittr関連のメールアドレスに対し、数回にわたり電話、メッセージ、メールで連絡を試みたが、返答は一度もなかった。Quittrへの連絡試行とアプリの脆弱性確認を1週間繰り返した後、404 Mediaはユーザーを保護しつつ、人気アプリの重大なセキュリティ問題を指摘するため、アプリ名を伏せたまま記事を公開することを決定した。
研究者によれば、このポルノ断ちアプリの60万人以上のユーザー情報にアクセス可能で、そのうち10万人は未成年と識別されていた。
このアプリはまた、ユーザーに自身の習慣に関する「告白」を記述するよう促していた。その一つにはこう記されていた:「もうこれ以上続けられない。正直、これ以上どうすればいいのかわからない。本当の落伍者だ。深刻な助けが必要だ。」
「当初は『どうやって金を稼ぐアプリを作れるか?』と考えていました。しかし、この問題がいかに大きいかに気づいた時、それがより情熱的なプロジェクトへと変わりました。つまり、『どうやって男性が本当の意味で男性として再び立ち上がれるよう手助けできるか?』という視点です」と、McLarenはニューヨーク・マガジンに語っている。
ニューヨーク・マガジンの人物記事公開後、研究者が再度Quittrを確認したところ、誤設定されたデータベースが修正されていた。これが、我々が今、アプリ名を公表する理由である。
原文を表示
imageQuittr, an app that promises to help men stop watching pornography, leaked intimate data on hundreds of thousands of its users, including their masturbation habits, and lied about its security issues, 404 Media can now reveal.
I first reported about Quittr exposing user data in January, but was unable to name Quittr in the story because its creators, Alex Slater Connor McLaren, did not fix its security issues despite multiple requests and an offer from an independent researcher to help them fix the problem. Naming the app while hackers were still able to easily steal Quittr’s user data would have endangered their privacy and put them at risk of extortion from hackers, which is very common today. Some of the data exposed includes the users’ age, how often they masturbate, and how viewing pornography makes them feel. According to the data, many of them are minors.
Quittr is operated by Slater and McLaren, members of the so called App Mafia, a group of men in their early 20s who claim to have made millions of dollars on mobile app development. Slater and McLaren were recently the subjects of a long New York Magazine profile which detailed the opulent lifestyle the success of Quittr has afforded them, including driving exotic super cars and living in a Miami mansion. Slater shares videos about his lifestyle on his personal YouTube channel as well.
Slater claims Quittr has been downloaded more than 1.5 million times and makes $500,000 a month. But despite these incredible numbers, the developers were somehow unable or unwilling to fix a major security flaw in the app for months.
I first learned about the Quittr vulnerability from an independent researcher, who scanned the Google Play Store and Apple App Store for a common misconfiguration in apps that use Google Firebase, an app development platform. The researcher tested hundreds of the top apps on both stores after we published a story about the Tea app suffering a devastating hack due to the same issue. The researcher found dozens of apps had the same problem, including Quittr, but did not name Quittr in his public disclosure because the highly sensitive and personal data could put users at risk.
The researcher said he contacted Slater directly on September 10, 2025 to tell him about the Quittr vulnerability.
“It’s my fault fully I should've been on top of this, the way you pulled the database was super creative,” Slater told the researcher in a series of WhatsApp messages, which 404 Media reviewed. “So props to that, but again this is serious data and is not good at all. Working on fixing rn! Will be fixed in the next hour.”
But Slater and McLaren did not fix the issue for months. I called him in January, told him about some of the sensitive user data I had seen, and asked him why he had not fixed the vulnerability even after he told the researcher he would.
“There is no sensitive information exposed, that's just not true,” Slater told me at the time. “These users are not in my database, so, like, I just don't give this guy attention. I just think it's a bit of a joke [...] after checking with my engineers I saw this was never an issue.”
When I asked Slater why he previously thanked the researcher for responsibly disclosing the misconfiguration and said he would rush to fix it, he wished me a good day and hung up.
After the call, I created an account on the app, which the researcher was able to see appear in the misconfigured Google Firebase, confirming that user information was still exposed. I called, texted, and emailed Slater and any email associated with Quittr I found several times after that call but never heard back. After a week of trying to contact Quittr and repeatedly checking that the app was still vulnerable, 404 Media decided to publish the story without naming the app in order to protect its users while still highlighting an important security issue in a popular app.
Overall, the researcher said he could access the information of more than 600,000 users of the porn quitting app, 100,000 of which identified as minors.
The app also invites users to write confessions about their habits. One of these read: “I just can't do this man I honestly don't know what to do know more, such a loser, I need serious help.”
“We were like, How can we build an app to make money? Then as I realized how large the issue was, that’s when it became more of a passion project, like, How can we help men actually become men again?” McLaren told New York Magazine.
After the New York Magazine profile was published, the researcher checked Quittr again and saw that it fixed its misconfigured database, which is why we’re naming the app now.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み