

2億6,700万件以上のFacebookユーザー名と電話番号が、パスワード保護のないウェブ上のデータベースで公開されていました…
聞き覚えがあるように思えるなら、それは 9 月に同じことが起き、4 億件以上の記録が漏洩したからです。
Comparitech の報道によると、今回は少なくとも Facebook は直接的にはこのプライバシー侵害の加害者ではなかったようだ。
Comparitechは、セキュリティ研究者のボブ・ディアチェンコ氏と提携し、Elasticsearchクラスターの発見に成功しました。ディアチェンコ氏は、証拠から判断すると、この膨大なデータはベトナムの犯罪者による違法なスクレイピング、あるいはFacebook APIの悪用によるものである可能性が高いと考えています。
データベースに含まれる情報は、エンドユーザーに対するその他の脅威の中でも、大規模な SMS スパムやフィッシング キャンペーンを実行するために使用される可能性があります。
ディアチェンコ氏は直ちにサーバーのIPアドレスを管理しているインターネットサービスプロバイダーに連絡し、アクセスを削除してもらいました。しかし、ディアチェンコ氏によると、そのデータはハッカーフォーラムにもダウンロードとして投稿されていたとのことです。
Facebook のユーザー名データベースは少なくとも 12 月 4 日から 18 日までオンラインでした。
報告書によれば、犯罪者はFacebookのセキュリティホールを悪用してデータにアクセスした可能性がある、あるいはFacebookプロフィールを公開に設定した人々から単にデータをスクレイピングしただけかもしれないという。
犯罪者がユーザーIDと電話番号をどのようにして入手したかは完全には明らかではありません。一つの可能性として、Facebookが2018年に電話番号へのアクセスを制限する前に、Facebookの開発者APIからデータが盗まれたことが挙げられます。FacebookのAPIは、アプリ開発者がユーザーのプロフィール、友達リスト、グループ、写真、イベントデータにアクセスすることで、アプリケーションにソーシャルコンテキストを追加するために使用されています。電話番号は2018年以前からサードパーティの開発者に公開されていました。
ディアチェンコ氏は、FacebookのAPIには、アクセスが制限された後でも犯罪者がユーザーIDや電話番号にアクセスできるセキュリティホールが存在する可能性があると述べている。
もう 1 つの可能性は、Facebook API をまったく使用せずにデータが盗まれ、代わりに公開されているプロフィール ページから収集されたというものです。
「スクレイピング」とは、自動化されたボットが多数のウェブページを素早く精査し、各ページからデータをデータベースにコピーするプロセスを指す用語です。Facebookなどのソーシャルメディアサイトは、正規のユーザーとボットを区別できないことが多いため、スクレイピングを防ぐのは困難です。スクレイピングは、Facebookをはじめとするほとんどのソーシャルネットワークの利用規約に違反しています。
多くの人は Facebook プロフィールの表示設定を公開に設定しているので、スクレイピングは簡単です。
自分のプロフィールが「友達のみ」に設定されていることを確認することをお勧めします。iOS アプリで、右下のハンバーガー メニューをタップし、「設定」>「プライバシー」>「プライバシー設定」の順にタップして、いくつかの重要な設定を確認します。
Facebook は、ユーザーがオプトアウトしている場合でもユーザーの位置情報にアクセスしていたことを認めた後など、誤った理由で話題になり続けているようだ。
TNW経由
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。