Malwarebytesは4月22日(米国時間)、「Billions of scraped Discord messages up for sale|Malwarebytes」において、40億件のDiscordメッセージが「Spy[.]pet」と呼ばれるインターネットスクレイピングサービスから販売されていると報じた。このサービスは複数の国や地域において、法律に触れる可能性があると指摘されている。
インターネットスクレイピングサービス「Spy[.]pet」とは
Malwarebytesによると、Spy[.]petはインターネット上に公開されている40億件を超えるDiscordメッセージを収集し、ユーザープロファイルに基づいたデータベースを構築したという。このデータベースは既知の別名(ニックネーム)、さまざまなアカウント情報、参加したDiscordサーバー、公開メッセージを含むとされる。
Spy[.]petはダークWebではなくインターネット上で堂々とサービスを提供している。サービスは有料で、誰でも利用可能。Spy[.]petはデータベース構築のために1万4,000台を超えるサーバから6億人を超えるユーザーの情報を収集したとホームページ上に掲載しており、データ量は今も増え続けている。
違法性と対策
Malwarebytesによると、米国を含む多くの地域において、同意なしに未成年者の情報を収集および販売することは違法とされる。また、EU一般データ保護規則(GDPR: General Data Protection Regulation)では、収集したデータの削除方法を提供することが義務づけられているが、以前のSpy[.]petは削除方法を提供しておらず違反が指摘されていた。現在はオプトアウトの手順を示すように変更されており、実効性に疑問は残るもののデータを匿名化する方法が示されている。
この件について報じたThe Registerは「Site claims to have harvested 4B+ Discord chats, all on sale • The Register」において、Discordの今後の対応を確認するために連絡をとっている。
The Registerによると、Discordは「ユーザーのプライバシーとデータ保護に取り組んでいる。現在、この件について調査中。利用規約とコミュニティーガイドラインへの違反が確認された場合、ポリシーを実施するために適切な処置を講じる。調査中のためこれ以上のコメントは控える」と回答したという。