Facebook(フェイスブック)アカウントにリンクする何億もの電話番号がオンライン上で見つかった。
暴露しているサーバーには、米国ユーザー1億3300万件、英国ユーザー1800万件、ベトナムユーザー5000万件の記録を含め、世界各地のユーザーに関する4億1900万超の記録が含まれていた。このサーバーはパスワードで保護されていなかったため、誰でもデータベースを見つけてアクセスできた。
各記録にはユーザーのFacebook IDやアカウントにある電話番号が含まれていた。ユーザーのFacebook IDは通常長くユニークで、往々にしてアカウントのユーザーネームを識別するのに使用されやすいアカウント関連の数字が含まれている。
しかし電話番号は、Facebookがユーザーの電話番号へのアクセスを制限して以来、1年以上公開されていない。
TechCrunchは、Facebookユーザーの電話番号とリストにある彼らのFacebookのIDをマッチさせて、データベースにある多くの記録を実証した。我々はまた、電話番号とFacebookのパスワードリセット機能をマッチさせて他の記録もチェックした。パスワードリセット機能は、アカウントにリンクしているユーザーの電話番号を明らかにするために使うこともできる。
記録の一部にはユーザーの名前、性別、居住国も含まれていた。
これは、2016年の米国大統領選挙浮動票層の人を特定するのに8000万超のプロフィールがスクレイプ(特定情報の抽出)されたCambridge Analyticaスキャンダル以来、Facebookが関わってきた一連のインシデントで最新のものとなる。
Cambridge Analyticaスキャンダルがあって以降、スクレイプされたプロフィールデータを大量に持っていたことを最近認めたInstagramを含め、Facebookではかなりひどいスクレイピングインシデントがいくつかあった。
そして今回の最新のインシデントは、数百万ものユーザーの電話番号をFacebookIDから露出させ、これによりスパムコールやSIM乗っ取り攻撃のリスクにさらした。SIM乗っ取り攻撃は、攻撃する人に誰かの電話番号を渡して通信会社を欺くことで成り立っている。誰かの電話番号を使って攻撃する人はその番号に関係するあらゆるインターネットアカウントパスワードを強制リセットできる。
セキュリティ研究者でGDI FoundationのメンバーであるSanyam Jain(サヤム・ジェイソン)氏がデータベースを発見し、データベースの持ち主を見つけられずにTechCrunchに連絡してきた。データをレビューしたが、我々もデータベースの持ち主を特定できなかった。しかし我々がウェブのホストに接触した後、データベースはオフラインになった。
ジェイソン氏は、何人かのセレブに関連する電話番号が載ったプロフィールを目にしたと語った。
Facebookの広報、Jay Nancarrow(ジャイ・ナンカロウ)氏はFacebookがユーザーの電話番号へのアクセスを断つ前にデータはスクレイプされたと話した。
「このデータセットは古いもので、我々が昨年、電話番号を使って他人を見つけらる機能を除外するために変更を加える前に入手されたもののようだ」とナンカロウ氏は語った。「データセットはバラバラにされていて、Facebookのアカウントが影響を受けたという証拠は得られていない」。しかし、一体誰がデータをスクレイプし、いつ、そしてなぜFacebookからスクレイプされたのか、疑問は残る。
Facebookは長い間、デベロッパーによるユーザーの電話番号へのアクセスを制限してきた。Facebookはまた、友達の電話番号の検索をさらに難しくもしている。しかしデータは暴露されたデータベースに先月末にアップされたようだった(これはデータが新しいものであることを必ずしも意味しない)。
今回のデータの露出は、パスワードなしにデータがオンラインで公にさらされた最新例となる。こうしたものの多くは悪意のある情報流出よりもヒューマンエラーと結びついているが、それでもデータの露出は顕在化しているセキュリティ問題を表している。
最近では、金融サービス大手First AmericanやMoviePass、上院民主党がデータをさらしている。
画像クレジット:Adam Berry / Getty Images
[原文へ]
(翻訳:Mizoguchi)
