Facebook、600万人の連絡先情報が他のユーザーに露出--原因のバグは対応済み

　Facebookが600万人のユーザーに対し、これらのユーザーの電子メールまたは電話番号がほかのユーザーと誤って共有されたと警告している。

　Facebookは米国時間6月21日、「Download Your Information」ツールに一部ユーザーの連絡先情報が意図せずして露出するバグを発見し、パッチを適用したことを明らかにした。このバグは6月に入って、脆弱性を報告したセキュリティ研究者に報酬を与える同社の「White Hat」プログラムを通じて報告されたもの。Facebookの広報担当者は米CNETに対し、バグは24時間以内に修正されたと述べた。

　Facebookは同社のセキュリティブログに投稿されたメモで次のように述べた。「これはわれわれを慌てさせ、当惑させるものだ。このようなことが二度と起こらないよう、万全を期して取り組むつもりだ」

　今回のバグ自体を説明するのは少々難しいが、基本的には、ユーザーが自分のFacebookデータのコピーをダウンロードすることを選択した時、自身とつながりはあるが電話番号あるいは電子メールアドレスを持っていなかった人物について、これら特定の連絡先情報がFacebookアーカイブに加えられた可能性があるというものだ。この追加の情報は、友達推薦プロセス中の不具合により提供された。

　Facebookは今回の状況について、セキュリティブログで次のように説明している。

　ユーザーがコンタクトリストや連絡先をFacebookにアップロードすると、われわれは友達の推薦を作成する目的で、そのデータに対してFacebook上の他のユーザーの連絡先情報との照合を試みる。例えば、既にFacebook上に存在する友達の場合、われわれは、それらの友人をFacebookに招待することを勧めたいとは考えないが、その代わりに、こうした友達がFacebook上の友人になるよう招待することを勧めたいと考えている。

　このバグにより、友達の推薦の作成、および、われわれが送信する招待状の数を減らすのに使われる情報の一部が、ユーザーの連絡先情報に関連して、Facebook上のアカウントの一部として誤って保管された。その結果、Download Your Information（DIY）ツールを通じて自分のFacebookアカウントのアーカイブをダウンロードしに行った場合、自分の友人や何らかのつながりがある人々の電子メールアドレスや電話番号が追加されて提供されていた可能性がある。この連絡先情報は、Facebook上のほかのユーザーによって提供されたものであり、必ずしも正確なものではなかったが、DYIツールを使用しているユーザーの連絡先に誤って組み込まれた。

　Facebookは、このバグの悪用について把握していないとしており、ユーザーからの苦情も受けていないと述べている。それでも、同社は米国、カナダ、欧州の規制当局にこの問題を通知している。影響を受けたユーザーには、共有された連絡先情報とそれが公開されたユーザーの数について知る手がかりを与える電子メールを送付する予定だと、同広報担当者は述べた。