Instagramの何百万人ものインフルエンサー、著名人、ブランドアカウントの連絡先情報を含む膨大なデータベースがオンラインで公開されているのが発見された。
そのデータベースは、Amazon Web Servicesによってホストされていて、パスワードも付けず誰でも中身を見られる状態で公開されていた。この記事を書いている時点では、データベースには4900万件を超えるレコードがあり、数時間に渡って増加し続けていた。
そのデータをざっと見てみると、各レコードにはインフルエンサーのInstagramアカウントから抜き出した公開データ、つまり履歴、プロフィール画像、フォロワー数、検証状態、国、都市レベルの住所、などが含まれている。しかし、それに加えて非公開の連絡先情報、つまりアカウント所有者の電子メールと電話番号も含まれているのだ。
このデータベースを発見したのは、セキュリティ研究者のAnurag Sen氏だ。彼は、TechCrunchに一報を入れるとともに、データベースの所有者を探し、データを保護しようと務めた。データベースの所有者は、ムンバイに本拠を置くソーシャルメディアマーケティング会社であるChtrboxであることが突き止められた。インフルエンサーを雇って、スポンサー付きのコンテンツを各自のアカウントから投稿させる会社だ。データベース内の各レコードには、個々のインフルエンサーのアカウントの価値を算出した数字も含まれている。フォロワー数、エンゲージメント、リーチ、お気に入りおよび共有の数に基づいて計算したものだ。この数字は、その会社がInstagram上のインフルエンサーや著名人に、広告の投稿に対して支払うべき金額を決める際の指標として使われる。
TechCrunchは、公開されたデータベースの中に、何人もの有名なインフルエンサーが含まれていることを確認した。その中には、著名なフードブロガー、著名人、また他のいろいろなソーシャルメディアのインフルエンサーも含まれていた。
我々は、データベースに情報が含まれていた何人かをランダムにピックアップして連絡を取り、電話番号を確認してもらった。そのうちの2人から返答があり、データベースに載っていた電子メールアドレスと電話番号は、彼らがInstagramアカウントの設定に使っていたものであることを確かめてくれた。いずれの人も、Chtrboxにはまったく関与していなかったとのことだ。
われわれが連絡を取った直後に、Chtrboxはデータベースをオフラインにした。同社の創立者兼CEOのPranay Swarup氏は、これについてのコメントのリクエストには応じず、同社がどうやってInstagramアカウントのプライベートな電子メールアドレスと電話番号を入手したか、といった質問にも答えてはくれなかった。
今回の漏洩は、Instagramがデベロッパー向けAPIのセキュリティ上のバグを認めてから2年も経過してから明らかになったもの。そのバグを利用して、ハッカーは600万のInstagramアカウントから電子メールアドレスと電話番号を入手したのだった。その後、ハッカーはビットコインと引き換えに、それらのデータを売り払っている。
今や10億人以上のユーザーを抱えるInstagramは、そのバグの発覚から数カ月後に、単位時間あたりのAPIの呼び出し回数を絞っている。アプリやデベロッパーが、プラットフォームに対して発行できるリクエストの数を制限するためだ。
Instagramを所有しているFacebookは、この問題について現在調査中だとしている。
「私たちは、ご指摘のあった電子メールや電話番号を含むデータが、Instagramから出たものなのか、あるいは他の情報源からのものなのかを判断するために調査中です」とFacebookは答えた。「私たちは、Chtrboxにも連絡して、そのデータがどこから出たものか、どうしてそれが公開されてしまったのかについて問い合わせています」と、付け加えている。
アップデート:Facebookからのコメントを受けて記事を更新済み。
画像クレジット:Jaap Arrien/Getty Images
[原文へ]
(翻訳:Fumihiko Shibata)