ニュース

5.4億件超のFacebookユーザー情報が公開状態、誰でもダウンロード可能だったことが発覚

 5億4000万件以上のFacebookのユーザー情報を含むデータセットが、Amazon S3のバケットからダウンロード可能な状態で公開されていたことが米セキュリティ企業のUpGuardの調査で分かった。同データセットはメキシコのメディア企業「Cultura Colectiva」と、サードパーティアプリの「At the Pool」から収集されたものだった。

 UpGuardによると、Cultura Colectivaのデータセットの容量は146GBに及び、ユーザーのコメント、「いいね!」、アカウント名、Facebook IDなど、5億4000万件以上のユーザー情報が含まれていた。

「Cultura Colectiva」のデータセットに含まれている情報(UpGuardの記事より)

 また、At the Poolのデータセットには、ユーザーが付けた「いいね!」、音楽、写真、グループ、チェックイン、Facebook IDのほか、2万2000件に上るパスワードのデータが含まれていた。パスワードはFacebookのものではなく、同アプリのパスワードであるとされているが、平文の状態であることが判明している。同じパスワードを複数のサービスで使い回している場合は危険であることをUpGuardでは指摘している。

「At the Pool」のデータセットに含まれている情報(UpGuardの記事より)

 なお、At the Poolは2014年に運用を中止しており、親会社のウェブサイトにも接続できない状態だそうだ。

 UpGuardはこの問題について、Cultura Colectivaへ1月に連絡を取ったが回答は得られなかった。また、Amazon Web Services(AWS)にも問題のバケットについて通知したものの、4月3日までに対策は取られていない状態だった。