5億4000万件以上の記録を含むFacebookのデータが、オンラインに公開されたデータベースに保管されていた。UpGuardのセキュリティ研究者らが米国時間4月3日に明らかにした。
データには、ユーザーのコメント、いいね、名前、Facebook IDなど、広範囲にわたる情報が含まれていた。データは、Facebook上の2つのサードパーティーアプリが収集したものだった。
「Facebookのポリシーでは、Facebook情報を公開されたデータベースに保管することを禁止している。指摘を受けて、Amazonと協力し、データベースを閉鎖した。当社プラットフォーム上の開発者らと連携し、ユーザーデータの保護に努めるつもりだ」とFacebookの広報担当者は声明で述べた。
3日に明らかになったこの件において、問題のデータベースは何の保護も施されないまま、Amazonのクラウドサーバには配置されていた。データベースは、Cultura Colectivaというメキシコの企業と、「At the Pool」というアプリのものだった。
UpGuardは1月にCultura Colectivaに通知したが、これまで回答を得られていないという。同社のセキュリティ研究者らはAmazonにも連絡を取り、データベースを保護するように求めたが、Amazonは有効な措置を講じなかったと、UpGuardは述べる。問題のデータベースは、この問題を最初に報じたBloombergがFacebookに通知した3日午前まで、保護されていない状態だった
Amazonにコメントを求めたが、回答は得られなかった。
Facebookは、この1カ月間だけでも複数のセキュリティ問題が発覚している。Facebookは先ごろ、数億件ものパスワードがFacebookの社内サーバ上で読み取れる状態になっていたことを発表したばかりだ。また、新規アカウントの登録時に個人用電子メールのパスワードを同社が要求していたことも明らかになり、廃止されたばかりだ。
2018年に発覚したCambridge Analyticaのスキャンダルで示されたように、サードパーティーアプリは引き続き、Facebookにとってセキュリティ上の懸念となっている。
公開されていたAt the Poolアプリのデータベースには、写真、イベント、パスワードなどのデータが含まれていたが、UpGuardによると、保存されていたパスワードは同アプリのもので、Facebookアカウントのパスワードではないようだという。それでも、複数のアプリでパスワードを使い回すユーザーも珍しくない中、2万2000件のパスワードがプレーンテキストで保管されていた。
UpGuardが発見する前に、悪意ある者がこの公開データベースにアクセスしたかどうかは不明だ。
At the Poolを提供していた企業は2014年に廃業しているが、データベースはオンライン上に公開されたままになっていた。
146Gバイトものデータは、サードパーティー開発者によるデータ収集について、Facebookが今よりも寛容だった時期に集められたものである。
「Facebookは、データ共有に非常に寛大であった時期があった」とUpGuardの製品担当バイスプレジデントGreg Pollock氏は述べる。「今はそうではないが、Facebookが開発者と共有したたくさんのデータは今もどこかに残っているし、その後どのように扱われているかは分からない」(Pollock氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」