セキュリティー専門家によれば、Facebookに投稿された何億件ものデータが誰でも見られる状態でサードパーティーのサーバーに保存されているという。
2組の巨大なユーザーデータ・ファイルが2社のサードパーティーのサーバーにパスワードなしで保存され、簡単にアクセス可能であることをセキュリティー専門企業のUpGuardが発見した。
同社のレポートによれば、メキシコのデジタルメディア企業であるCultura Colectivaは、5億4000万件のFacebookレコード(コメント、「いいね!」、ユーザー名などを含む)をAmazon S3のサーバーにパスワードなしで保存していた。つまり誰でもこのデータにアクセス可能だった。別の例は現在は閉鎖されているカリフォルニアに本拠を置くアプリメーカーのAt The Poolのもので、さらに秘密性の高い個人情報が含まれていた。これは2万2000人のユーザーの友達リスト、関心、写真、所属するグループ、投稿の地理的情報などのデータがスクレイピングで取得されていた。
UpGuardによれば、両社ともデータ削除の要請に応じていないという。TechCrunchがFacebookに取材したところ、広報担当者は「Amazonにデータをオンラインでアクセスできないようにするよう依頼した」と述べた。
広報担当者によれば、Facebookから得た情報を公開データベースに保存することをFacebookは禁じているという。 また「今のところこれらのデータが悪用された証拠は得られていないが、引き続き調査中」とのことだ。
このところデータの漏洩問題が続くFacebookだが、英国の政治分析会社によって ユーザーの同意を得ずに8700万件のFacebookデータがスクレイピングされていたことが報告されている。これらの情報は大統領選において最初、テッド・クルス候補、後にドナルド・トランプ候補のキャンペーンを助けるために役立てられたという。
こうした問題を受けて、Facebookはバグ・ハンター・プログラムをスタートさせ、Facebookデータをリークさせているサードパーティーないし、そのアプリの発見に努めることとした。
UpGuardは2018年にLocalbloxが4800万件のデータをスクレイピングによって取得していたことを発見している。
UpGuardのサイバイーリスク調査責任者であるChris Vickery氏はTechCrunchのインタビューに答えて、「こうした(リークの)発見は一般ユーザーのデータを大量に収集するソーシャルメディア企業に潜む危険性を示すのだ」と述べた。
Vickery氏によれば、「エンドユーザーの個人情報を収集することは危険だ。データの量が増えるほど危険性も大きくなる」という。
画像:Getty Images
[原文へ]
(翻訳:滑川海彦@Facebook)