2018年7月1日日曜日

人気クイズアプリ会社が Facebook ユーザー1億2000万人分のパーソナルデータを野ざらし状態に


NameTests クイズにユーザーデータを公開するセキュリティ上の不備が存在していた


The Verge
Nick Statt
Jun 28, 2018

NameTests というブランド名で Facebook 上に提供されているクイズゲームが、最大で1億2000万人分の Facebook ユーザーのパーソナルデータを公開状態にしていたことが明らかにされたと TechCrunch が伝えている。NameTests を開発している会社はドイツのアプリメーカー、ソーシャル・スイートハーツ(Social Sweethearts)で「Which Disney Princess Are You?(あなたはどのディズニープリンセス?)」のような人気ソーシャルクイズアプリを開発し Facebook 上で提供しており、1ヶ月に約1億2000万人に利用されている。自称ハッカーであるインティ・ドゥ・セウケレールは昨日(6月28日) Medium に、このクイズを利用して Facebook から氏名、誕生日、写真、友達リストといった情報を収集し、JavaScript ファイルとして表示させる方法の概要を投稿しているが、悪意のある第三者が簡単に実行できるものだ。

セウケレールはこの件について Facebook に何度も連絡を試みたが、同社は調査中であると返答したという。1000万人分のユーザーの個人情報が収集され第三者企業に販売されていたというケンブリッジ・アナリティカ社に関連したデータプライバシースキャンダルが明らかにされてから、 Facebook のデータ漏洩やセキュリティ不備は特に厳しく追求されている。セウケレールが NameTests が漏洩を防ぐためにユーザーデータの処理方法を変えたことに気づいたのは数ヶ月後、6月のことであった。

TechCrunch への声明でソーシャル・スイートハーツは、パーソナルデータが第三者に対し公開されていたこと、あるいは、当該データが不正に利用されたことについて証拠は存在しないと述べている。「ソーシャル・スイートハーツのデータ保護責任者として、この問題を慎重に調査したことをお伝えしたいと思います」とこの声明では述べられているが、責任者の個人名は書かれていない。「調査では、許可を得ていない第三者に利用者のデータが公開されていたという証拠は見つけられませんでした。更に、それが不正に利用されていたという証拠も一切存在しませんでした。それでもソーシャル・スイートハーツではデータセキュリティを重要視しており、将来のリスクを回避するために現在も対策が進められています」

Facebook はこの件は、個人データの不正利用報告に報奨金を出すプログラム「Data Abuse Bounty Program」を通して取り扱われたと話している。「Facebookに関連したデータ利用に関する報告を推奨するために4月に立ち上げた Data Abuse Bounty Program を通じて、ある研究者から nametests.com のウェブサイトについて報告があり私たちの注意を惹きました。私たちは nametests.com と共にサイトの脆弱性を解決するために対応を実施し、6月に完了させています」と Facebook の製品パートナーシップ担当副社長イーム・アーチボングが TechCrunch に対する声明で述べている。

今回の件は Facebook プラットフォーム上で事業を展開する企業に数多く存在すると考えらるセキュリティに無頓着な企業の1つとしてソーシャル・スイートハーツと同社の NameTests クイズが、外部の監査人とセキュリティ専門家によって Facebook に注意が促されてレーダーに捕らえられた最初の事例となった。Facebook は今年3月、ケンブリッジ・アナリティカ事件の渦中にデータ濫用を排除するためにプラットフォーム上のアプリに監査を実施することを発表し、5月には200以上のアプリを調査の中で停止したと述べている。NameTests の件は故意ではない漏洩事件であるように見えるために、悪質なケースとしては捉えられていない。しかし、特に現在は利用者が Facebook 上でサードパーティ製のアプリを利用することに慎重になっている状況で、今回のような事態が起こったことは Facebook のプラットフォームとしてのセキュリティ全般にとってあまり良いことではないだろう。

0 件のコメント:

コメントを投稿