ITmedia NEWS > STUDIO >
ニュース
» 2018年06月29日 10時15分 公開

FacebookでCAスキャンダル後も続くクイズアプリでの個人情報不正収集 発見者に4000ドルの報奨金

Facebook上で「あなたがディズニーのプリンセスだとしたら誰?」などのクイズを配信しているNametest.comにJavascriptで回答者の誕生日や性別を不正に収集するバグがあった。「Data Abuse Bounty」への報告によりこのバグは修正された。

[佐藤由紀子,ITmedia]

 米Facebookのニュースフィード上で独Social Sweetheartsが提供している「Nametest.com」クイズアプリで不正に個人データが収集されていたとベルギー在住のセキュリティエンジニア、インティ・デ・キューカレア氏が自身のMediumで6月28日(現地時間)、経緯を紹介した。

 nametest Nametest.comのクイズは日本語版もある

 同氏はFacebookが4月に立ち上げた不正アプリ報告プログラム「Data Abuse Bounty」に報告し、これを受けたFacebookがSocial Sweetheartsに通告した結果、現在は修正されている。

 Facebookは3月、Cambridge Analyticaスキャンダル発覚を受け、2014年のアプリ提供条件変更前に公開されたすべてのアプリを調査し、不正の疑いのあるアプリの開発者はFacebookプラットフォームから排除するとしていたが、その後もまだクイズアプリによる個人データ不正収集が続いていることが明らかになったかたちだ。

 Nametest.comのクイズは「あなたがボリウッドビューティーだったらどんな感じ?」や「あなたがディズニーのプリインセスだとしたら誰?」などというもの。Javascriptを使ってクイズに答えたユーザーのFacebook ID、氏名、設定言語、性別、誕生日、プロフィール画像、カバー画像などを外部に提供できるようになっていた。

 nametest 2 (画像:Inti De Ceukelaire氏)

 Facebookはキューカレア氏の指摘とSocial Sweetheartsによる“迅速な対処”に謝意を表し、「報告プログラムを立ち上げたのはまさにこうしたことのためだ」と語った。

Copyright © ITmedia, Inc. All Rights Reserved.