UpGuardは4月3日(米国時間)、「Losing Face: Two More Cases of Third-Party Facebook App Data Exposure」において、Facebookアプリによって収集されたユーザーのデータがAmazon S3バケットを介してインターネットからアクセス可能な状態で置かれていたと伝えた。
発見されたとされるデータは次のとおり。
メキシコを拠点とするメディア企業のCultura Colectiveによって開発されたアプリによって集計されたデータ。容量にして146ギガバイト、漏洩したデータはコメント、Like、リアクション、アカウント名、Facebook IDなど、5億4000万件を超えるレコードが含まれていた。
「At the Pool」と呼ばれるアプリで収集されたデータのバックアップ。このデータにはfk_user_id、fb_user、fb_friends、fb_likes、fb_music、fb_movies、fb_books、fb_photos、fb_events、fb_groups、fb + checkins、fb_interests、passwordなどの項目があり、22,000ユーザー分含まれていた。パスワードはアプリ用で、Facebookアカウントのパスワードではないと見られている
-
Losing Face: Two More Cases of Third-Party Facebook App Data Exposure
-
Losing Face: Two More Cases of Third-Party Facebook App Data Exposure
漏洩データに含まれていたパスワードはFacebookアカウントのパスワードではないと見られているが、ほかのサービスのアカウントでパスワードを使いまわしているユーザにとってはデータが利用される可能性があり注意が必要。
Facebookは3月にも、数億人のパスワードを暗号化しないで保存していたことが明らかになっており、ユーザーデータが外部に漏洩するといったセキュリティ・インシデントが続いている。Facebookでアプリを利用する場合、こうした危険性があることに留意することが望まれる。
複数のルータを侵害したDDoS攻撃が発生、日本国内にも影響
