製品が他のユーザーの位置情報へのアクセスを許可している場合、製造元に連絡する必要がありますか？

はい。予測可能な短い文字列ではなく、長く推測できない文字列を使用する必要があります。

私はこれを、彼らが修正するのが比較的簡単なセキュリティ上の欠陥だと考えます。

ただし、注意が必要です。一部の企業では、このような状況にうまく対応できません。そのIDを変更することはハッキングであり、訴訟を起こすと脅かされたり、起訴されたりする可能性があると主張する人もいます（私の見方では正しくありません）。それはばかげていますが、匿名または仲介者を介してそれらにアプローチすることをお勧めします。

彼らがバウンティプログラムを持っているかどうかを確認します Googleの会社名とバグバウンティ）。そうでない場合は、仲介者の使用を検討することをお勧めします----（Zero Day Initiative はその1つです。

他の回答に追加するには-自分で問題を報告するリスクに注意してください：

セキュリティの問題の報告に慣れていない場合は、危険で潜在的に悪意のある問題に遭遇する可能性があります。セキュリティ問題の処理の経験がない会社は、IT部門ではなく会社の弁護士にレポートを転送する可能性があります。明らかに、あなたは単に助けたいだけですが、彼らにとってあなたは主にトラブルを引き起こしています。おそらく、彼らはこの問題が公になることを望まない（ビジネスの評判に大きな害を与える可能性がある）ため、法的な結果であなたを脅かす可能性があります。最悪の場合、彼らは追って通知することなく警察に連絡します。

気になるので、URLの緯度/経度の部分を切り捨て、IDを1文字変更しました。

だから、あなたはそれを単に偶然に見つけたのではありません。会社の観点から、あなたはURLを操作することで他の顧客のデータにアクセスしました-それがどれほど簡単か、そしてあなたが「好奇心から」それをしたことは彼らにとって重要ではありません。彼らはまだあなたを脅威と見なし、専門外で反応するかもしれません。

この可能な解釈を認識し、リスクに見合う価値があるかどうかを慎重に決定する必要があります。契約またはバグの狩猟を奨励する公共政策なしでセキュリティのバグに対処する場合、 あなたは法的な灰色の領域にいます 。

私があなたなら、私は次のように言います

Hello,
I have mistyped my ID (e.g. 12345) and pressed enter instead of backspace,
and I was dumbfounded to find that the page loaded and found 
the location of a stranger who has the ID next to mine (e.g. 12346).
Being able to track someone without their permission
seems to be a security problem, as someone that knows me on Facebook 
with a small bit of IT knowledge would be able to guess my ID without me knowing.

基本的に、好奇心ではなく偶然見つけたとしましょう。また、匿名で擬似的に送信します（たとえば、実際のIDを使用せず、jon.doe @ gmail.comなどを使用してメールを送信します）。

送信する前にメールを確認し、証明を知っている人に読んでもらうようにしてください。

怒りを擬人化したかのように読んでください。ベッドのポストにつま先をぶつけて彼の1日を始めた人に怒りを発散させないように、それをスムーズにするのに役立つかもしれません。

彼らが答えないか、しばらくそれについて何もしない場合、彼らにそれについて何かをしてもらいたい、またはあなたがしようとするだろうと言ってください（おそらくこれは中程度のセキュリティ問題なので、1か月か2日後）この問題について他のユーザーに警告します。彼らがまだ何もしない場合は、それを行いますが、警告されれば、彼らはそれを好まないかもしれません。 このzamfooの場合 を参照

これと同じくらい簡単に見つけた場合、誰かが悪意のある目的に使用している可能性があり、他のユーザーがそれにつまずいて心配している可能性があることを主張します。

常識を働かせて、変な何かに遭遇した気になるユーザーやそのユーザーの友達に出会うようにします。少しの「不誠実」、多くの穏やかさと礼儀正しさは、水を試すのに大いに役立ちます。彼らが十分に友好的であるように見える場合、あなたはあなたが能力があるなら）あなたは有能であると言うかもしれません、そして彼らが問題を追跡するのを助けることができます。

あなたが彼らを助け、彼らが友好的であるなら、あなたは彼らに他の潜在的な問題を積極的にチェックしてほしいかどうか彼らに尋ねることができます。 （彼らがあなたに仕事を得るのを助けるかもしれない素晴らしい経験を持っているなら（彼らはあなたについてあなたが欲しいかもしれない他の人々にあなたがどれほど優れているか（友好的だがプロ））あなたのことを話し合うことができます。あるいは単に参考になるだけです）、またはいくつかの友人。）

また、それは彼らが無料の広告を得る機会でもあります、彼らがうまく反応すれば、おそらくあなたは興味があるかもしれない人々にそれらについて話す傾向があるでしょう。

あなたと彼らがすることは何でも、落ち着いて、すぐにエスカレートしないで、彼らの視点を理解し、そして脅威として現れないようにしてください（1）

あなたが助けるよりもあなたが彼らに損害を与える可能性があるように見える場合、それは防御にそれらを置く最も速い方法です、そしてあなたが愚かで何かをし、あなたの根拠をカバーしなかった場合、弁護士の脅威/実際のケースを取得します。

（1）ほとんどの場合、セキュリティについて話すときだけでなく、多かれ少なかれ怒っている人（同僚、上司）でもうまくいきます。

余談：脅威として表示される可能性があるのは、誰か/何かに脅かされている場合、何も相手に対抗できないと確信している場合（非常に怒っている犬など）、恐れずに静かに歩いていく（たとえパンツを茶色にしても） ）、おそらく彼らはもっと吠え始めますが、ゆっくりと戻ってあなたを追い越します（またはあなたを殺す/殺しますが、逃げた場合も同じです）。

ps：私が言っていることに批判的になってください、私は愚かな人間です、そして私は絶対的な真実を所有していません、何かがより良く見えるなら、アイデアを熟考し、最善と思われることを行い、何が起こるかを見て、学びます。

（また、構造化されていない/長く/不安定すぎると思われる場合は、自由に編集を提案してください。私はかみません。）

他の誰もがここで銃を跳んでいるようです。考慮すべき重要な部分は[〜＃〜] how [〜＃〜]あなたはエンドユーザーであり、他のエンドユーザー（家族/友人）と現在地を共有しています。

リンク付きの情報を表示し、同じリンクを家族に送信できる場合は、情報を公に投稿していると想定されます（承認システムはありません）。

プライバシーに関する声明または利用規約では、これを詳しく説明する必要があります。誰があなたの位置データにアクセスできますか？どのような情報が公開されていますか？それは確かにあなたが提案した質問を明確にするでしょう。

単純なWebリンクを使用することは、私がそのようなシステムを設計する方法ではありませんが、完全に意図的なようです。プライバシー設定について尋ねることをお勧めします。

これは興味深い質問です。ほとんどのシステムでは、位置データを公開する安全でない直接参照の脆弱性だと思います。

リアルタイムのGPS位置は敏感であると考えられるべきです、それは複数の悪意のある用途を持っている可能性があります。この場合、それはシステムの全体のポイントですが、使用可能なまま（たとえば、英数字）のままでIDを推測するのは難しくなるはずですが、特定のユーザーがデータを識別できません。また、アクセスを許可するユーザーに提供するパスワードによって保護することもできます。

これはセキュリティリスクそのものではなく、実装が不十分だと思います。問題は、見知らぬ人があなたのページを閲覧した場合、あなたの情報やプライバシーが侵害されたと感じますか？もしそうなら、それをメーカーと一緒に上げてください。

編集：-これに関する私の意見を修正しました。このシステムは脆弱であると考えます。識別子は推測しにくく、理想的にはパスワードで保護する必要があります。

この問題は、直接オブジェクト参照と簡単に列挙されるIDが原因で発生します。攻撃者が簡単に推測できるようになるため、どのシステムでも簡単に列挙できるIDを使用しないでください。 IDを推測できない場合は、直接オブジェクト参照のリスクも減らすことができます。ランダムなID値か、ユーザーがユーザーを表すためのGUID.

私はこれが主要なフローであると思うので、会社は家族/友達があなたを追跡する前に認証されたAPIを提供する必要があります。 @Arminiusが提案したように、製品会社があなたの発見をどのように受け入れるかは予測できません。これを匿名として通知する方が常に良いです。そうでない場合は Responsible Disclosure テンプレートまたは用語を使用します。