piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

サードパーティ取得のFacebookデータが公開状態だった件についてまとめてみた

2019年4月3日、セキュリティ企業UpGuardはAmazon S3上に公開状態にあるFacebookのデータを確認したと調査レポートを公開しました。これらのデータはサードパーティアプリがFacebookから取得したものとみられます。ここでは関連情報をまとめます。

UpGuardの調査報告

f:id:piyokango:20190409060105j:plain
www.upguard.com

  • レポートはUpGuard Cyber Risk Teamがまとめたもの。
  • レポート中でS3上で2つの公開されたFacebookアプリを確認したと指摘。
  • レポートでは確認されたデータの調査とそれに付帯するIRの顛末について記載。

この件を報じる国内メディアの記事など

S3で公開状態にあったアプリ

Facebookアプリデータを含む海外のサードパーティアプリ2件のデータセット(FB以外の情報も含まれているとみられる)

  • Cultura Colectiva(約5億4千万件)
  • At The Pool(2014年頃に公開停止)
公開されていた情報
Cultura Colectiva 5億4千万件に及ぶ146GBのデータセット
公開されたデータには「cc-datalake」という名称
具体的な人数は調査が困難として明らかにされていない
アカウント名、Facebook ID、コメント、お気に入り、ユーザーの反応等が含まれる
At The Pool 2万2千件のデータセット
「fb_」接頭句のFB関連とみられる複数の情報
IDの他、友達、いいね!、動画、本、写真、イベント、グループ、興味等のカラム名がつけられている。
平文のパスワードが含まれていたが、アプリのものだとUpGuardは分析
UpGuardはパスワードを使いまわしていた場合は脅威となると指摘
  • UpGuardは確認したデータを悪用する兆候を確認していない。
発見後の対応

データ発見後、関係者へ連絡するも対応に時間がかかった模様

Cultura Colectiva 1月10日にUpGuardから情報提供
1月14日にUpGuardから再度情報提供
4月3日までに反応なし
Amazon 1月28日にUpGuardからAmazonへ連絡。
2月1日 Amazonより当事者が事態認知したとの回答
2月21日 対処が行われていないため再度連絡。
同日 Amazonより対処の方法を検討中との回答。
4月3日まで Facebook取材後に対応が行われた模様
At The Pool 通知前(UpGuard調査中)にデータがオフラインとなった
  • 2019年4月3日までに対処が完了とUpGuardは説明。
  • Facebook側からの要請によりAmazonが当該データへの対応をとったと報道。
  • Facebookの規約では公開スぺ―スに保管することを禁じている。
  • BloombergがFacebookへ取材していたことが背景にあるとみられる。*1

更新履歴

  • 2019年4月9日 AM 新規作成