セキュリティ研究者のインティ・デ・セウクレレール氏は、NameTests.com のクイズ アプリケーションに欠陥があり、Facebook ユーザー 1 億 2000 万人のデータが攻撃者に公開される可能性があることを発見しました。
Facebookデータの不正使用者を見つける
ケンブリッジ・アナリティカのスキャンダルを受けてFacebookが4月10日にデータ不正使用の報奨金を発表した後、De Ceukalaire氏はNameTests.comをFacebookのデータ不正使用者の1つとして特定した人物だ。
当時、フェイスブックは、ケンブリッジ・アナリティカやグローバル・サイエンス・リサーチの協力者が行ってきたのと同じ方法でユーザーのデータを収集していないかどうかを確認するために、何千ものアプリケーションを自ら調査するとも約束していた。
ケンブリッジ・アナリティカは以前、メカニカルタークのユーザーにクイズアプリをインストールしてもらうために金銭を支払い、その後、そのユーザーの友人データへのアクセス権を同社に付与することで、数千万人のユーザーデータを収集することができました。このようにして、ケンブリッジ・アナリティカはわずか30万人のユーザーから数千万人のデータを収集することができたのです。
NameTestsのデータ公開
NameTests のプライバシー ポリシーでは、ユーザーのデータは常に仮名化されると規定されています。
当社は、ユーザーデータに基づいて広告を表示するなど、様々な技術パートナーと提携しています。ユーザーデータは仮名化(氏名やメールアドレスなどの明確なデータは含まない)されており、ユーザーは簡単に撤回できる権利を有しています。また、当社はパートナー企業と特別なデータ保護契約を締結しており、パートナー企業はユーザーデータの保護に尽力しています。
しかし、De Ceukalaire 氏は、ユーザーのデータが JavaScript ファイルに保存されており、そのファイルからすべての個人情報が、それを要求した第三者に漏洩していることを発見しました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
研究者によると、この情報には「Facebook ID、名、姓、言語、性別、生年月日、プロフィール写真、カバー写真、通貨、使用デバイス、情報の最終更新日時、投稿やステータス、写真、友達」が含まれる可能性があるという。
NameTests のアプリにはログアウトのオプションも用意されていなかったため、たとえアプリがデバイスから削除されたとしても、残っているクッキーによってユーザーの身元が明らかになる可能性がある。
NameTestsの親会社であるドイツのSocial Sweetheartsは、TechCrunchへの声明の中で、ユーザーのデータは漏洩していないと述べた。
ソーシャル・スイートハーツのデータ保護責任者として、この件について綿密な調査を行ったことをお知らせいたします。調査の結果、ユーザーの個人データが不正な第三者に開示された形跡はなく、ましてや不正使用された形跡もありませんでした。しかしながら、ソーシャル・スイートハーツではデータセキュリティを非常に重視しており、将来のリスクを回避するための対策を現在講じております。
しかし、この問題についてFacebookと数ヶ月にわたって協議した結果、De Ceukalaire氏はFacebookから、これは確かにユーザーのデータを潜在的な攻撃者に漏洩させる可能性のある欠陥であったという確認を得た。Facebookはまた、NameTestsがこの問題を修正しており、アプリをプラットフォームから削除する予定はないとDe Ceukalaire氏に伝えた。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
