ネットサービス

5億件以上のFacebookユーザー情報がクラウドサーバー上に誰でもアクセス可能な状態で公開されていたことが判明


コンサンルティング企業のケンブリッジ・アナリティカによってユーザーデータが不正利用された件で、Facebookは世界中から大きな批判を受けました。厳しい意見を受けてFacebookはユーザーデータの保護に努めてきましたが、サイバーセキュリティ企業のUpGuardに所属する研究者らが、オンラインでアクセス可能なAmazonのクラウドサーバー上に、5億4000万件以上のFacebookユーザーデータが公開状態になっていることを発見しています。

Losing Face: Two More Cases of Third-Party Facebook App Data Exposure
https://www.upguard.com/breaches/facebook-user-data-leak

Millions of Facebook Records Found on Amazon Cloud Servers - Bloomberg
https://www.bloomberg.com/news/articles/2019-04-03/millions-of-facebook-records-found-on-amazon-cloud-servers

Researchers find 540 million Facebook user records on exposed servers | TechCrunch
https://techcrunch.com/2019/04/03/facebook-records-exposed-server/


UpGuardのサイバーセキュリティチームは、2つのサードパーティー企業がFacebookのユーザーデータをAmazonのクラウドサーバー上に、公開状態で保存していたことを発見しました。それぞれの企業は、Facebook関連のサードパーティーアプリを開発していたとのこと。

研究者らによると、メキシコに本拠を置くデジタルプラットフォーム企業のCultura Colectivaはユーザーのコメントやアカウント名など、実に5億4000万件ものFacebookユーザーデータをクラウドサーバーに公開状態で保存していました。データはロックされていなかったため、オンラインでデータを発見した人なら、実に146GBにも及ぶデータを自由にダウンロードできたとのこと。Cultura Colectivaは有名人や文化に関するストーリーを投稿するプラットフォームで、主にラテンアメリカのユーザーを対象としています。

また、「At the Pool」というサードパーティーアプリも、2万2000件に及ぶFacebookのユーザーデータを公開状態で保存していました。すでにAt the Poolは運用されていないそうですが、名前やメールアドレス、Facebookの友だちリスト、写真などが長期間にわたり公開状態となっていました。

by icon0.com

UpGuardは2019年1月10日にCultura Colectivaへ「Facebookのユーザーデータが公開状態で保存されている」と警告するメールを送り、2019年1月14日にも同様のメールを再度送信したそうですが、反応はなかったとのこと。その後、2019年1月末にUpGuardはAmazon Web Service(AWS)に対して警告のメールを送信し、2019年2月1日にはAWSが危険に気づいた旨を返信したそうです。しかし、その後も長らくFacebookのユーザーデータは公開状態のままであり、2019年4月3日になってようやく「cc-datalake」と名付けられていたデータセットが非公開になったとのこと。

2018年に世界を騒がせたケンブリッジ・アナリティカのデータ不正利用により、Facebookはユーザーデータの取り扱いについて大きな方針転換を行い、サードパーティーアプリのバグ報奨金プログラムなどを提供しています。しかし、Facebookが方針を転換する以前には、多くのサードパーティー企業がアプリ開発のためにFacebookのユーザーデータを利用可能でした。

今回の一件は、手元を離れたデータについてFacebookは管理できないという事実を裏付けるものです。一度でも外部に提供されたデータは自然に消滅することもなく、再びFacebookの管理下に戻ってくることもありません。UpGuardのサイバーリスク調査責任者であるChris Vickery氏は、「エンドユーザーから収集した個人情報を保存することには責任が伴い、データ量が増えるにつれて責任も増大します」と述べています。

by www.thoughtcatalog.com

また、企業がデータをクラウドサーバーに保存するようになったことで、データセキュリティの問題が増幅する可能性があるとBloombergは指摘。多くの企業が自社のデータサーバーから、AmazonやGoogleが提供するクラウドサーバーに移行していますが、軍事データやサービスの購読者データなど、重要な機密情報が今回のケースのように誤ってオンライン上で公開されてしまうという事例が増加しているとのこと。膨大なユーザーデータを扱う企業は、データ保護についてこれまで以上に大きな責任を持っているといえます。

この記事のタイトルとURLをコピーする

・関連記事
5000万人のユーザーデータを不正利用されたFacebookのザッカーバーグCEOが間違いを犯したと認める - GIGAZINE

Facebookが150以上の企業にユーザーの個人情報へのアクセスを特別に許可していたことが判明 - GIGAZINE

5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE

Facebookが数億件分のパスワードを暗号化しないままサーバーに保存していたことが明らかに - GIGAZINE

Facebookは位置情報サービスをオフにしているユーザーの位置情報も入手している - GIGAZINE

FacebookのザッカーバーグCEOが「インターネットには新しいルールが必要だ」と主張 - GIGAZINE

Facebookが「白人ナショナリズム」を認めてきた方針を転換、差別として禁止すると発表 - GIGAZINE

・関連コンテンツ

in モバイル,   ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.