不注意な開発者2人によって、数百万件のFacebookアカウントの詳細情報が盗み取られる状態になった。
Upguard のプロ Shodan ジョッキー、Chris Vickery 氏は、Facebook のサードパーティ アプリである Cultura Colectiva と At the Pool の開発者のものと思われる、公開された 2 つの AWS S3 バケットを発見しました。
ヴィッカリー氏は、2つのデータベースのうち、Cultura Colectivaのデータベースの方がはるかにキャッシュが大きいと指摘した。このデータベースには、スペイン語のニュースと文化を提供するFacebookアプリを購読している、主にメキシコとラテンアメリカのユーザーの約5億4000万件のレコードが保存されていた。
公開されたCultura Colectivaのデータベースには、Cultura ColectivaのFacebookアプリに登録したユーザーのコメント、いいね!、リアクション、Facebook ID番号、アカウント名などの情報が含まれていました。これらのデータは特に機密性が高いものではありませんが、ヴィッカリー氏は、どの記事や動画が最も多くのトラフィックとコメントを生み出しているかをパブリッシャーやマーケターが把握できるため、マーケティングの観点から重要であると述べました。
ヴィッカリー氏は、1月10日以降に同社に何度も連絡を取ろうとしたにもかかわらず、カルチュラ・コレクティバは応答もせず、漏洩したデータに対して行動も起こさなかったと付け加えた。漏洩したデータはアップガードの報告書が公開された後にようやく削除された。
プールで沈む
一方、「At The Pool」のデータベースは、アカウント数がわずか2万2000件と比較的小規模でしたが、Cultura Colectivaのデータベースよりもはるかに機密性の高い情報が含まれていました。インターネット上に公開されたデータセットには、ユーザーID、「いいね!」、友達、お気に入りの映画や本、写真、そして現在は廃止されているアプリのパスワードなどが含まれていました。パスワードを使い回す傾向があることを考えると、公開されたログイン情報の多くは他のアカウントでも使える可能性が高いでしょう。
この事件はFacebookを特に不利な立場に追い込んでいます。一方で、Facebookはサードパーティの開発者がデータをどのように扱い、どのような方法でデータを保護し、安全に保つかを制御できません。
8億900万件もの連絡先記録が流出したマーケティングメールデータベース?もしかしたら20億件以上?
続きを読む
一方、今回のような事件が起きると、たとえフェイスブックのスタッフが暴露自体には全く関与していなかったとしても、結局ザッカーバーグ氏の責任が問われることになる。
「Facebook上のアプリ開発者にとって、このプラットフォームの魅力の一つは、Facebookユーザーによって生成されたデータやFacebookユーザーに関するデータの一部にアクセスできることだ」とヴィッカリー氏は指摘した。
Cultura Colectivaでは、各投稿への反応データを活用することで、将来どのコンテンツが最も多くのトラフィックを生み出すかを予測するアルゴリズムを調整することができます。これらのデータセットで公開されているデータはFacebookがなければ存在しなかったでしょうが、これらのデータセットはもはやFacebookの管理下にはありません。
The Registerは、Facebookに連絡を取り、公開されている開発者データベースを消去するために何かできることはないか、あるいはできないのかを尋ねています。本稿執筆時点ではまだ回答はありません。®
