5億4000万件以上のFacebookのユーザー情報を含むデータセットが、Amazon S3のバケットからダウンロード可能な状態で公開されていたことが米セキュリティ企業のUpGuardの調査で分かった。同データセットはメキシコのメディア企業「Cultura Colectiva」と、サードパーティアプリの「At the Pool」から収集されたものだった。
UpGuardによると、Cultura Colectivaのデータセットの容量は146GBに及び、ユーザーのコメント、「いいね!」、アカウント名、Facebook IDなど、5億4000万件以上のユーザー情報が含まれていた。
「Cultura Colectiva」のデータセットに含まれている情報(UpGuardの記事より)
また、At the Poolのデータセットには、ユーザーが付けた「いいね!」、音楽、写真、グループ、チェックイン、Facebook IDのほか、2万2000件に上るパスワードのデータが含まれていた。パスワードはFacebookのものではなく、同アプリのパスワードであるとされているが、平文の状態であることが判明している。同じパスワードを複数のサービスで使い回している場合は危険であることをUpGuardでは指摘している。
「At the Pool」のデータセットに含まれている情報(UpGuardの記事より)
なお、At the Poolは2014年に運用を中止しており、親会社のウェブサイトにも接続できない状態だそうだ。
UpGuardはこの問題について、Cultura Colectivaへ1月に連絡を取ったが回答は得られなかった。また、Amazon Web Services(AWS)にも問題のバケットについて通知したものの、4月3日までに対策は取られていない状態だった。
関連リンク UpGuardの該当記事
関連記事
「宅ふぁいる便」と同じID・パスワードを使い回している人は注意! 不正ログインやフィッシング詐欺に悪用される可能性も
2019年1月29日
Facebook、数億人分のパスワードを平文で保存 2万人以上の従業員が検索可能な状態に
2019年3月22日