Facebookのクイズアプリから1億2000万人分ものユーザー個人情報が流出していた可能性

By Book Catalog

Facebook上で利用できるアプリから、またも個人情報が流出する状態にあったことが判明しました。問題はすでに解決済みですが、1億2000万人分の個人データが流出していた可能性があります。

This popular Facebook app publicly exposed your data for years
https://medium.com/@intideceukelaire/this-popular-facebook-app-publicly-exposed-your-data-for-years-12483418eff8

この問題は、自ら「ハッカー」を名乗るInti De Ceukelaire(以下「Inti」)氏によって発見されていたもの。ドイツのアプリ開発企業Social Sweetheartsの「NameTests」と呼ばれるアプリが、ユーザーの名前や誕生日、写真、友人の名前を取得してJavaScriptファイルの中に含まれる状態にしていたことが指摘されています。

NameTestsは「Which Disney Princess Are You?(あなたはどのディズニーのお姫様？)」といった名称のクイズをSNS上で提供していたとのこと。

ユーザーがFacebookアプリからNameTestsを利用しようとした際、ユーザーはクイズを提供しているサイト「nametests.com」にアクセスしてログインすることを求められます。この時、他のアプリでも用いられているのと同じように、Facebookのアカウントでログインする方法を選ぶと、サイトはログインに必要な情報をFacebookから入手するのですが、その際に取得したユーザーに関する以下のような情報をJavaScriptファイルに書き込んでいました。この状態だと、NameTestsにアクセスしているのと同じブラウザで開かれている別のサイトが当該のJavaScriptファイルにアクセスして、その中身を見られる可能性のあったとのこと。

ブラウザには、Cross-Origin Resource Sharing(CORS：オリジン間リソース共有)ポリシーが適用されているために、別のサイトにアクセスしているタブが別のタブの情報を容易には見られないようにする仕組みが備えられていますが、NameTestsのHTTPヘッダを分析すると「Access-Control-Allow-Origin」の項目が「*」とワイルドカード設定されていたため、別のオリジン(アクセス元)からもNameTestsのJavaScriptファイルにアクセスできる状態になっていたとのことです。

Inti氏はこの問題について、Facebookが運営する個人データ不正利用報告報奨プログラム「Data Abuse Bounty」からFacebookに2018年4月22日に状況を報告。その後、同4月30日にFacebookから反応があり、問題の調査に乗り出していると報告を受けたとのこと。その後の5月14日、Inti氏が問題の進捗をFacebookに問い合わせたところ、5月22日に「調査には数カ月がかかる見込み」との返答があり、Inti氏に進捗をその都度伝えるとの返答。そしてついに6月25日、Inti氏はNameTestsで改善が行われ、第三者が個人情報を盗み見られる問題が解消されたことを確認しました。

この一件でInti氏はFacebookの規定に基づき4000ドル(約44万円)の報奨金を受け取れる権利を獲得。しかしInti氏はその全額を「Freedom of the Press foundation(報道の自由財団)」に寄付することを選んだため、こちらも規定に基づいて2倍の8000ドル(約88万円)が財団に贈られることになったとのこと。

Inti氏がこの件を公開すると、Facebookは以下のように問題が解消されたことを記したエントリを公開。自身の通報によって問題が解消されたことについてInti氏は喜びを感じている一方で、このような受け入れがたい出来事が1億人以上のユーザーの身に降りかかっていることに複雑な感情を抱いているとのことです。