データ漏えい対策を手掛ける米セキュリティ企業のUpGuardは4月3日、サードパーティーアプリに渡ったFacebookのユーザーに関する情報が、Amazon S3の公開バケットに保存されていたと伝えた。
UpGuardによると、メキシコのメディア企業Cultura Colectivaのデータには、ユーザーがFacebookに投稿したコメントや「いいね」などのリアクション、アカウント名、Facebook IDなど5億4000万件以上の記録が含まれていた。
一方、「At the Pool」というFacebook連動アプリのバックアップ情報には、Facebook IDや友達、音楽、映画、写真、グループ、チェックインなどの情報が含まれる他、ユーザー2万2000人余りのパスワードが平文で保存されていた。
このパスワードはAt the Poolのものだったと思われるが、ユーザーが同じパスワードを使い回していた場合は危険にさらされるとUpGuardは指摘する。At the Poolは2014年に廃業し、親会社のWebサイトにもつながらない。
いずれの情報データもインターネットで公開されたAmazon S3のバケットに保存され、一般ユーザーがファイルをダウンロードできる設定になっていた。
Cultura Colectivaの情報については、UpGuardが1月から2月にかけてCultura ColectivaやAmazon Web Services(AWS)に連絡を取ったものの対策が講じられない状況が続き、4月3日になってFacebookがBloombergの取材を受けたことで問題のS3バケットの安全が確保されたと同社は伝える。
At the Poolの情報は、UpGuardがこの問題について調査している間にオフラインになった。
Facebookは英Cambridge Analyticaのデータ不正流用事件を受けて、サードパーティーに提供するユーザー情報を規制すると表明した。しかし「いったん流出してしまったデータを元に戻すことはできない。Facebookユーザーに関するデータは、Facebookが制御できる範囲をはるかに越えて拡散している」とUpGuardは指摘し、Facebookのユーザーデータは流出し続けるだろうと予想する。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR