データベース侵害により、TikTok、Instagram、YouTube のユーザー約 2 億 3,500 万人のプロフィールデータが公開されました。
データはウェブスクレイピングと呼ばれる手法で収集されたようだ。ウェブスクレイピングとは、企業がサービスのウェブインターフェースにアクセスし、データを自動的に収集する手法である。
これはハッキングとは異なります。ハッキングでは、公開されていないデータにアクセスするためにシステムに侵入します。一方、Webスクレイピングは公開データのみにアクセスします。
例えば、自動化されたシステムが複数のYouTubeチャンネルにアクセスし、チャンネル所有者のユーザー名、写真、フォロワー数を収集するといったことが考えられます。これらの記録をデータベース化すると、データ自体は公開されているにもかかわらず、プライバシーの問題が生じます。
データがデータベースにまとめられたら、通常は保護されているはずです。しかし、TNWの報道によると、2億3500万件のレコードを含むデータベースがパスワード保護なしでウェブ上で発見されました。
スクレイピングされたデータには、前述のプラットフォームの数百万人のユーザーの詳細を含む4つの主要なデータセットが含まれていました。プロフィール名、氏名、プロフィール写真、年齢、性別、フォロワー数などの情報が含まれていました[…]
セキュリティ企業コンパリテックの主任研究員ボブ・ディアチェンコ氏は8月1日、データベースの同一コピー3つを発見した。ディアチェンコ氏と研究チームによると、そのデータは現在は消滅したディープ・ソーシャルという企業のものだったという。
同社に連絡したところ、リクエストは香港に拠点を置くSocial Data社に転送され、同社はデータ侵害を認め、データベースへのアクセスを遮断した。しかし、Social Data社はDeep Socialとの関連を否定した。
Comparitech によれば、各記録には次の内容の一部またはすべてが含まれていたという。
- プロフィール名
- 実名
- プロフィール写真
- アカウントの説明
- プロフィールがビジネスに属しているか、広告が含まれているか
- フォロワーのエンゲージメントに関する統計情報:
- フォロワー数
- エンゲージメント率
- フォロワー増加率
- 視聴者の性別
- 視聴者年齢
- 視聴者の場所
- いいね
- 最終投稿のタイムスタンプ
- 年
- 性別
さらに、サンプルとして採取された記録の約20%には、電話番号またはメールアドレスが含まれていました。TNWが指摘しているように、この種のデータはスパムメールだけでなく、フィッシング詐欺にも利用される可能性があります。
ウェブスクレイピングは通常、関連サービスの利用規約で禁止されていますが、カリフォルニア州の裁判所は昨年、違法ではないとの判決を下しました。これは多くの場合、良いことと言えるでしょう。
例えば、CityMapperは、リアルタイムの交通情報や公共交通機関のデータを取得し、都市内のA地点からB地点までの最速の移動方法を計算する、非常に人気のあるアプリです。現在ではほとんどの公共交通機関がAPI経由でデータを提供していますが、初期はWeb上でのみ利用可能でした。CityMapperの初期の先駆者たちによるWebスクレイピングは、データをより使いやすくする便利な方法を提供しました。
企業が有用なデータをウェブ上に公開しているものの、API経由では提供していない場合、ウェブスクレイピングは今日でも有用です。例えば、価格比較サービスは依然としてウェブスクレイピングに依存していることが多いです。
しかし、個人データのスクレイピングは別の問題であり、裁判所はおそらく2種類の使用方法を区別する必要があるだろう。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
