Facebookユーザー約600万人のコンタクト情報、バグにより誤って他のユーザーと共有される 16
ストーリー by headless
照合 部門より
照合 部門より
Facebookは21日、友達の推薦機能のバグにより、約600万人のメールアドレスまたは電話番号がほかのユーザーと共有されていたことを明らかにした(Facebook Securityのノート、
INTERNET Watchの記事、
CNET Japanの記事、
本家/.)。
Facebookにユーザーがコンタクトリストやアドレス帳をアップロードすると、友達を推薦するためにほかのユーザーのコンタクトリストとの照合が行われる。しかし、バグが原因で、友達の推薦に使われたほかのユーザーのコンタクト情報がユーザーのアカウントに誤って保存されてしまっていたという。そのため、Download Your Information(DYI)ツールを使用すると、何らかのつながりのあるユーザーのメールアドレスまたは電話番号がダウンロードしたアカウントデータに含まれる可能性があったとのこと。これ以外の個人情報は共有されていないという。Facebookではバグを確認後にDYIツールを無効化して修正作業を行い、翌日には復旧したとのことだ。
Facebookによると、各ユーザーの情報がダウンロードされたのは1~2回で、ほとんどのユーザーについて情報が共有された相手は1人のみだという。また、DYIツールを利用可能なのはFacebookユーザーだけであり、開発者や広告主にデータが渡ることはないとのこと。現在のところ共有された個人情報が不正利用された形跡はないとしている。
Facebookにユーザーがコンタクトリストやアドレス帳をアップロードすると、友達を推薦するためにほかのユーザーのコンタクトリストとの照合が行われる。しかし、バグが原因で、友達の推薦に使われたほかのユーザーのコンタクト情報がユーザーのアカウントに誤って保存されてしまっていたという。そのため、Download Your Information(DYI)ツールを使用すると、何らかのつながりのあるユーザーのメールアドレスまたは電話番号がダウンロードしたアカウントデータに含まれる可能性があったとのこと。これ以外の個人情報は共有されていないという。Facebookではバグを確認後にDYIツールを無効化して修正作業を行い、翌日には復旧したとのことだ。
Facebookによると、各ユーザーの情報がダウンロードされたのは1~2回で、ほとんどのユーザーについて情報が共有された相手は1人のみだという。また、DYIツールを利用可能なのはFacebookユーザーだけであり、開発者や広告主にデータが渡ることはないとのこと。現在のところ共有された個人情報が不正利用された形跡はないとしている。
んー? (スコア:0)
DYIツールを使える開発者や広告主は居ないっていうけど、Facebookにアカウントをもっている開発者や広告主はbotや直接的な手段でないにせよ、情報を収集できたって事じゃないの?それはデータが渡ることはないとは言い切れないんじゃ・・・・・・?
よーわからん。
Re: (スコア:0)
パイプかませて定期的に差分をローカルDBへマージ、みたいなことやってる業者は普通にいそうですよね。
形跡はないとしている。 (スコア:0)
>現在のところ共有された個人情報が不正利用された形跡はないとしている。
日本でも必ずニュースの最後にこのような走り書きがあるのだが、根拠がないどころか
こういう一筆は、不愉快。
だいたい根拠がない。
Re:形跡はないとしている。 (スコア:3)
> 日本でも必ずニュースの最後にこのような走り書きがあるのだが、根拠がないどころか
> こういう一筆は、不愉快。
この手の発表は影響の範囲や被害の規模を明示していないと意味がない。つまり、ある方が好ましい一文。もちろん、ステレオタイプ化しているので、何ら調査せずに書いている恐れもあるが。
形跡とは跡形のこと。つまり、彼らが認識できる範囲の調査によるものを指しているので、彼らの持つ記録や他者からの報告に含まれていないものは含まない。もちろん、それらの中には社外に公開できないものが多いだろう。
当たり前だが、それ以上のことは誰にも出来ない。要するにこの一文は理想的とは云えないが、大きな問題でもない。
Re:形跡はないとしている。 (スコア:3)
「形跡がない」という言葉に根拠がないとは思わないし、「形跡がない」以外の書き方をするのは難しいけれど、不愉快はわかるなあ。
例えば殺人事件があった場合に「被害者が抵抗した形跡はない」と書いても、文字通り解釈すればあまり意味のある情報ではない。情報の受け手が知りたいのは「抵抗した形跡が見付かったかどうか」ではなくて、「抵抗したかどうか」だからだ。「抵抗した形跡はない」という情報に意味があるのは、被害者が抵抗すれば何か跡が残る場合が多いだろうから、抵抗した形跡がないということは被害者は抵抗しなかった可能性が高いと考えられるからだ。
「個人情報が悪用された形跡はない」も、それ自体はあまり意味のある情報ではないという点では違いがない。 nmaeda さんもお書きの通り、読み手が知りたいのは「影響の範囲や被害の規模」であって、形跡の有無ではないからだ。「個人情報が悪用された形跡はない」という情報を意味のあるものにするためには、個人情報が悪用されれば何か跡が残る場合が多いだろうという前提が必要だけれど、この前提は殺人事件の例と違ってかなり怪しい。そうなると、「悪用された形跡はない」と言われても、「ふーん、だから?」という気分になる。それと、殺人事件の場合、形跡を探すのは利害関係のない捜査機関だけれど、個人情報漏洩の場合は調査しているのは攻撃されたサイトの管理者であって、「本当にちゃんと調査したの?」という疑念を拭うのも難しい。また、穿った見方をすれば、「悪用された形跡はない」と書くことによって、読む側が上の殺人事件の例など物理的な証拠が残りやすい状況と同じと思い込んで「悪用されなかった可能性が高い」と自主的に都合良く解釈してくれることを狙っている可能性だってある。この「ふーん、だから?」と「ちゃんと調べたの?」と「都合良く誤解されることを狙っているんじゃないの?」あたりが不快感を招いていると思う。
だからといって、どうすれば良いのかはよくわからないけれど。理想を言えば、「悪用された形跡がない」という情報とともに、それと「悪用されなかった」との間の隔たりがどの程度あるかがわかるような何らかの追加情報がほしいけれど、何を提示すればそういう追加情報になるのかわからないし。
Re: (スコア:0)
100%確実でなければ書かない方がいい。
なんてこと言ってるとなにも情報が出てこなくなりますよ。
それとも確実でなくてもいいきった方がいいって話?
Re:形跡はないとしている。 (スコア:2)
内容が僕のコメントと全然関係ないので、どうして僕のコメントへの返信として書かれているのかわかりませんが、念のため、僕は「100% 確実でなければ書かない方が良い」 (何を?) とも「確実でなくても言い切った方が良い」 (何を?) とも言っていません。
Re: (スコア:0)
アルファ・コンプレックスは完璧に安全性が保障済みであります。その証拠に、悪用されたなどの報告は今の今まで1回たりとも報告されておりません。
Re:形跡はないとしている。 (スコア:1)
漏れたのはメールアドレスや電話番号なので、悪用するとしたらメールや電話(またはそれをキーに利用できる何らかのサービス)であって、
Facebookが確認できる所に「不正利用された形跡はない」のは当たり前。
INTERNET Watchの記事: Facebookによれば、現時点で不具合を悪用した攻撃は確認していないという。
CNET Japanの記事: Facebookは、このバグの悪用について把握していないとしており、
原文: We currently have no evidence that this bug has been exploited maliciously
なのでタレコミの誤訳と思われ
Re:形跡はないとしている。 (スコア:1)
△現在のところ共有された個人情報が不正利用された形跡はないとしている。
○現在のところ共有された個人情報が不正利用された形跡は発見できてない。
たぶんこんなんとちゃうやろか。
Re: (スコア:0)
だいたい根拠がない,という指摘にも根拠がない.水掛け論は止めよう.
Re: (スコア:0)
某個人情報流出事件のときに『○○○○○○というところから迷惑メールが来た!』という人が多数いて、これもう確定だろってぐらい疑いが強かったのに『個人情報が不正に使用された事実は確認されていない』のまま終了したことがあったなぁ。
# 被害者の 1人なので AC
Re: (スコア:0)
呈示されない根拠は無に等しい
水掛け論ではない
「書状を見ていないのでコメントできない」みたいな? (スコア:0)
まぁ、テンプレだわな。
Re:「書状を見ていないのでコメントできない」みたいな? (スコア:2)
民事裁判で訴えられた側がよく言うコメントなら、「書状 [yahoo.co.jp]」じゃなくて「訴状 [yahoo.co.jp]を見ていないのでコメントできない」だよ。
FB zetai warui isureru-jin (スコア:0)
あけまい わ 日本語 でございません!