Facebook は最近、ユーザーのセキュリティに関してはあまり良い実績を残しておらず、違反行為に関するニュースは最近沈静化しているものの、その傾向は再び高まっているようだ。
TechCrunchは今週、サーバーが適切に保護されておらず、その結果、Facebookアカウントに紐付けられた電話番号がオンライン上に流出した経緯を詳細に報じたレポートを掲載した。レポートによると、サーバーはパスワードで保護されておらず、誰でもアクセス可能だったという。
その結果、Facebookユーザーの電話番号が数億件、最大4億1,900万件アクセスされました。米国だけでも1億3,300万件の記録が見つかりました。ベトナムのFacebookユーザーからは5,000万件、英国のユーザーからは1,800万件の記録が見つかりました。
サーバーに含まれていた機密データは電話番号だけではなく、各アカウントには固有の Facebook ID も含まれていました。
公開されたサーバーには、複数のデータベースにわたるさまざまな地域のユーザーに関する 4 億 1,900 万件を超える記録が含まれていた。これには、米国の Facebook ユーザーに関する 1 億 3,300 万件の記録、英国のユーザーに関する 1,800 万件の記録、ベトナムのユーザーに関する 5,000 万件を超える記録が含まれている。
しかし、サーバーはパスワードで保護されていなかったため、誰でもデータベースを見つけてアクセスすることができました。
各レコードには、ユーザー固有のFacebook IDとアカウントに登録されている電話番号が含まれていました。ユーザーのFacebook IDは通常、アカウントに関連付けられた長くて固有の公開番号であり、アカウントのユーザー名を簡単に識別できます。
しかし、Facebookが電話番号へのアクセスを制限してから1年以上経過していることは注目に値します。そのため、この特定のサーバーはそれよりも古いものであり、Facebookはサーバー上のデータセットが古いものであるとさえ述べています。
「このデータセットは古く、昨年、電話番号を使って他人を見つけられないようにする変更を行う前に取得された情報が含まれているようです」と広報担当者は述べた。「データセットは削除されており、Facebookアカウントが侵害されたという証拠は確認されていません。」
残念ながら、このような方法でデータを保存することは決して珍しいことではありません。この問題により、電話番号が漏洩した個人は、既に受けているスパム電話よりもさらに多くのスパム電話を受けるリスクにさらされる可能性があります。さらに、SIMスワッピング攻撃によって通信事業者を騙し、悪意のある人物に他人の電話番号を渡すことも可能になります。
これは必ずしも大規模な侵害ではありませんが、機密情報が保存されている可能性のあるサーバーをロックダウンすることがいかに重要であるかを示しています。パスワードを設定せずにサーバーをこのように開放しておくことは、非常に危険です。
