Snapchatは460万人分のユーザー名と電話番号が漏洩した件について公式ブログに記事を発表した。それによるとデータが盗まれたのはAPIの濫用が原因だったという。同時に電話番号から対応するユーザー名が検索できるデータベースの仕様に問題があったことを認めた。
Snapchatでは今後こうした大量の個人情報流出が起きないよう、Snapchatのモバイル・アプリとサービス自体に改良を加えるよう準備しており、また電話番号から友達を検索できるFind Friends機能をオプトアウトに変えるとしている。
Snapchatによれば、同社は昨年8月にこのセキュリティー上の問題を外部から指摘され、APIを通じたユーザーデータ検索の速度を制限するなど一定の対策を取った。
ところがSnapchatは去る12月7日にFind Friends APIを利用して大量のユーザーデータを取得する方法をわざわざブログで公開するというセキュリティー史上まれに見る理解に苦しむ行動に出た。この記事でSnapchatは「理論的には誰かが大量の電話番号、たとえばアメリカ中のすべての電話番号をアップロードして順次Find Friendsで検索すれば、ユーザー名とそれに対応する電話番号の大量のデータベースを作ることが可能だろう」と書いている。
するとSnapchatのデータベースがまさにその方法で攻撃されたのだという。こうして460万人分のユーザー名とそれに対応する電話番号を掲載したSnapchatDB.infoがウェブに公開されてしまった。
驚いたことにSnapchatのコメントには迷惑をかけたユーザーへの謝罪が一言もない。過失を認めることになるのを恐れたのかもしれないが、まずい対応だという気がする。
Snapchatを攻撃した人物(ないしグループ)は「データを公開したのはSnapchatのセキュリティー問題に公衆の関心を呼び覚まし、Snapchatに欠陥の改良を促すためだった」と主張している。スタートアップにはリソースが不足していることは理解できるが、だからといってセキュリティーをないがしろにしてよい理由にはならない。セキュリティーはユーザー体験に劣らずサービスにとって本質的な要素だ。
攻撃グループは12月下旬、Gibson SecurityがFind Friendsのセキュリティー問題を詳細に指摘したことを報じるZDNetの記事によってこの欠陥を知ったという。この記事はGibson SecurityがSnapchatにセキュリティー問題を指摘したにもかかわらず回答がなかったので公表されたとのだという。
TechCrunchのJosh Constineも先月この問題を指摘していた。Snapchatの最初の間違いはセキュリティー専門家の意見を無視したところにある。Gibson Securityが警告を発したのは昨年8月で、問題が公表されるはるか前だったのだから、その間にSnapchatは真剣にセキュリティーの改善に取り組むべきだった。
[原文へ]
(翻訳:滑川海彦 Facebook Google+)
