2019年4月3日、セキュリティ企業UpGuardはAmazon S3上に公開状態にあるFacebookのデータを確認したと調査レポートを公開しました。これらのデータはサードパーティアプリがFacebookから取得したものとみられます。ここでは関連情報をまとめます。
UpGuardの調査報告
- レポートはUpGuard Cyber Risk Teamがまとめたもの。
- レポート中でS3上で2つの公開されたFacebookアプリを確認したと指摘。
- レポートでは確認されたデータの調査とそれに付帯するIRの顛末について記載。
この件を報じる国内メディアの記事など
- フェイスブック 5億件超の個人データ アクセス可能な状態(NHK)
- FBのデータ、アプリ開発会社が5億件超を「放置」 (日本経済新聞)
- FB情報 5億件超「丸見え」…外部会社と共有(読売新聞)
- フェイスブック、個人情報5億件超がアクセス可能に(TBS)
- 5億件超が一時公開状態=外部企業収集のFBデータ(時事通信)
S3で公開状態にあったアプリ
Facebookアプリデータを含む海外のサードパーティアプリ2件のデータセット(FB以外の情報も含まれているとみられる)
- Cultura Colectiva(約5億4千万件)
- At The Pool(2014年頃に公開停止)
公開されていた情報
Cultura Colectiva | 5億4千万件に及ぶ146GBのデータセット 公開されたデータには「cc-datalake」という名称 具体的な人数は調査が困難として明らかにされていない アカウント名、Facebook ID、コメント、お気に入り、ユーザーの反応等が含まれる |
---|---|
At The Pool | 2万2千件のデータセット 「fb_」接頭句のFB関連とみられる複数の情報 IDの他、友達、いいね!、動画、本、写真、イベント、グループ、興味等のカラム名がつけられている。 平文のパスワードが含まれていたが、アプリのものだとUpGuardは分析 UpGuardはパスワードを使いまわしていた場合は脅威となると指摘 |
- UpGuardは確認したデータを悪用する兆候を確認していない。
発見後の対応
データ発見後、関係者へ連絡するも対応に時間がかかった模様
Cultura Colectiva | 1月10日にUpGuardから情報提供 1月14日にUpGuardから再度情報提供 4月3日までに反応なし |
---|---|
Amazon | 1月28日にUpGuardからAmazonへ連絡。 2月1日 Amazonより当事者が事態認知したとの回答 2月21日 対処が行われていないため再度連絡。 同日 Amazonより対処の方法を検討中との回答。 4月3日まで Facebook取材後に対応が行われた模様 |
At The Pool | 通知前(UpGuard調査中)にデータがオフラインとなった |
- 2019年4月3日までに対処が完了とUpGuardは説明。
- Facebook側からの要請によりAmazonが当該データへの対応をとったと報道。
- Facebookの規約では公開スぺ―スに保管することを禁じている。
- BloombergがFacebookへ取材していたことが背景にあるとみられる。*1
更新履歴
- 2019年4月9日 AM 新規作成