Facebookのユーザー情報、5億4000万件がサードパーティーアプリ経由で流出
サードパーティーアプリに渡ったFacebookのユーザーに関する情報が、Amazon S3の公開バケットに保存され、一般ユーザーがファイルをダウンロードできる設定になっていた。
データ漏えい対策を手掛ける米セキュリティ企業のUpGuardは4月3日、サードパーティーアプリに渡ったFacebookのユーザーに関する情報が、Amazon S3の公開バケットに保存されていたと伝えた。
UpGuardによると、メキシコのメディア企業Cultura Colectivaのデータには、ユーザーがFacebookに投稿したコメントや「いいね」などのリアクション、アカウント名、Facebook IDなど5億4000万件以上の記録が含まれていた。
一方、「At the Pool」というFacebook連動アプリのバックアップ情報には、Facebook IDや友達、音楽、映画、写真、グループ、チェックインなどの情報が含まれる他、ユーザー2万2000人余りのパスワードが平文で保存されていた。
このパスワードはAt the Poolのものだったと思われるが、ユーザーが同じパスワードを使い回していた場合は危険にさらされるとUpGuardは指摘する。At the Poolは2014年に廃業し、親会社のWebサイトにもつながらない。
いずれの情報データもインターネットで公開されたAmazon S3のバケットに保存され、一般ユーザーがファイルをダウンロードできる設定になっていた。
Cultura Colectivaの情報については、UpGuardが1月から2月にかけてCultura ColectivaやAmazon Web Services(AWS)に連絡を取ったものの対策が講じられない状況が続き、4月3日になってFacebookがBloombergの取材を受けたことで問題のS3バケットの安全が確保されたと同社は伝える。
At the Poolの情報は、UpGuardがこの問題について調査している間にオフラインになった。
Facebookは英Cambridge Analyticaのデータ不正流用事件を受けて、サードパーティーに提供するユーザー情報を規制すると表明した。しかし「いったん流出してしまったデータを元に戻すことはできない。Facebookユーザーに関するデータは、Facebookが制御できる範囲をはるかに越えて拡散している」とUpGuardは指摘し、Facebookのユーザーデータは流出し続けるだろうと予想する。
関連記事
- ユーザー数億人のパスワードが社内で丸見えに!? Facebookで発覚した“平文で保存”事件の衝撃
多くのユーザーを抱える「Facebook」の社内で、一部ユーザーのパスワードが平文、つまり“そのまま読める状態”で保存されていたことが発覚しました。この事件なぜユーザーにとって「リスク」なのか、今からできる回避策と一緒に解説します。 - Facebook、ユーザー数億人のパスワードを社内サーバに平文で保存
KrebsOnSecurityによると、FacebookやInstagramのユーザー2億人〜6億人のパスワードがFacebookの社内サーバに平文で保存され、従業員2万人あまりが検索できる状態だった。 - FacebookのザッカーバーグCEO、「ネット規制強化は政府が主導すべき」
Facebookのマーク・ザッカーバーグCEOがWashington Postに寄稿し、安全なプラットフォームを持続するためには、政府による規制の基準とガイドラインが必要だと主張した。 - FacebookのザッカーバーグCEO「プライバシー重視のプラットフォームを構築する」
プライバシー問題で批判が高まるFacebookのマーク・ザッカーバーグCEOが、従来のオープンなプラットフォームではなく、プライバシー重視のプラットフォームを構築すると発表した。エンドツーエンドの暗号化などで、決済や金融取引にも使えるものにするとしている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.