Facebook登録者の電話番号から氏名などを抜き出せることが問題視される 36
ストーリー by hylom
仕様 部門より
仕様 部門より
あるAnonymous Coward 曰く、
最近、Facebookでは「セキュリティ向上」のために携帯電話番号を登録させるよう促している。以前にはAndroid版Facebookアプリが勝手にその端末の電話番号を送信していたという話もあったが、こういった方法で登録された携帯電話番号から、それに紐付けられたユーザーの名前やプロフィール写真、居住地といった情報を抜き出せるという問題が発見されたそうだ(Gurdian)。
Facebookには、携帯電話番号から友人を探すという機能がある。Facebookのユーザー設定では、自分が第三者から携帯電話番号で検索されることがデフォルトで許可されており、この場合携帯電話番号を非公開にしていても、携帯電話番号からユーザーの情報を取得できるという。この問題を報告しているエンジニアは、「シンプルなアルゴリズム」で1万件の携帯電話番号を生成し、Facebook API経由でそこからユーザーの情報を取得できたとのこと。取得できる情報はFacebook上で公開されているものに限られるが、これによって携帯電話番号とその番号を所有しているユーザーのある程度の情報を取得できてしまうことになる。
とりあえず、Facebookに携帯電話の番号を登録するのは控えたほうが良さそうだ。
LINE は Facebook と比べると安全でまとも (スコア:5, 興味深い)
ネットでは「LINEは韓国製アプリでアドレス帳吸い上げられて個人情報漏えいするから危険」「だから Facebook Messenger とか WhatsApp(Facebookが買収)を使おう」なんて意見を良く耳にしますが、LINE は、
と意外にも安全でした。
一方、Facebook ときたら
と、かなり酷い状況です。
LINE の方がましですね。
2段階認証をONにしてる人の、今の対処はこれか? (スコア:3)
すでにfacebook で2段階認証をONにしている人も多いと思うので。
2段階認証をONにした人は、以下の作業をすれば、ある程度はこの被害を防止できるかも。
・facebookにログイン
・画面上の青いバー右端、下向き三角の「設定」
・画面左の「プライバシー」
・「プライバシー設定とツール」画面で「私を検索できる人」項目
・「電話番号を使って私を検索できる人」 の選択肢を見る
・「全員」「友達の友達」「友達」の三択の中で「友達」を選択する
(他の効果ありそうな対処、ありますかね、、、。)
Re: (スコア:0)
API叩かなくても、
「友達を検索」で電話番号やメールアドレス入れると検索できるんだな。
自動的に「公開設定」を優先させて欲しいところだが、今の所は設定変えるしかなさそうだな。
毎回思うが (スコア:1)
「電話番号認証・登録」がなぜセキュリティ向上になるかわからない。
サービスの提供そのものに必要ない情報を提供するのは御免蒙る。
なにかサイト側に問題があった時にそのサービスを利用するのに必須の情報が漏れるのはある程度仕方ないが、
不要な情報まで登録させられて、洩らされる。セキュリティ向上どころか、セキュリティの劣化にしかならん。
パスワードクラックや乗っ取りの対策ならば
①パスワードそのものを長くするか、
②2フィールドパスワードを作る。
③最初の登録時にパスワードとは別のセキュリティコードを発行しアクセス時に必須にする(クレカ方式)
のほうがよっぽどマシ。
Re:毎回思うが (スコア:1)
2要素認証について理解しつつも同じような疑問を持っていたのですが、
普段使いとは別に2要素認証専用の電話番号を用意するのが
正解の気がしています。
特定職人対策では? (スコア:2, 興味深い)
mixiで友人限定に電話番号を教える→
悪意を持った友人がfacebookのAPIで検索→
facebookではmixiではとてもじゃないけど見せられない情報を公開していたのがばれてしまう→
悪意を持った友人が2chのネットウォッチ板にさらす
別のゲームで同じような被害にあったことがあるのでここら辺の対策は正直してほしいところ
Re: (スコア:0)
他人が自分のプライバシーを尊重してくれるなんて夢物語です。
インターネットwなんて環境に「とてもじゃないけど見せられない情報」を出した段階で自業自得です。
見せられない情報を、業者=他人にお任せするなんてイロイロ素直な人だと思いますけどね。
きちんとした事業者であるなしに係わらず、他人に見られたくない情報を「外」に出しちゃだめ。
#とかIDで投稿しちゃったりするんだよね。
#ACでも運営さんには判るし。
高木先生は苦言を呈している模様 (スコア:0)
>http://gigazine.net/news/20120823-game-industry-privacy-cedec2012/
>
>高木:
もともとは8月頃にこれは問題があるなあ、と気付いてました。そしてTwitterで皆さんに聞いて、調べてみますと、Xboxの方ではちゃんと設定で変更できますよ、というような海外の状況が聞こえてきたんですね。そうするとソニーだけがやってないというのはまずいなあ、色んな意味でまずい。もしかしすると海外で急に叩かれて、日本がまた国益を損なうかもしれないと思いましたので、何か言わないといけないかなあ、と。ちょうどその頃というのは、さっき言いました
Re:毎回思うが (スコア:1)
なぜって、本人確認の為でしょ。
本人の為のセキュリティじゃなく、友達に対してアカウントが本人である事を(ある程度)保証する。
>電話番号を知ってる人間なら氏名は知ってるだろうよ
というのがまさにそれで、逆に氏名だけでは同姓同名の似た人か、なりすましかわからない。
fbは電話帳の登録番号と各アカウントの登録電話番号を照合して友達候補の優先順位を決めているようなので、
電話番号を登録しているという事は、それが知っている人で間違いないと推定するのに非常に重要な情報となる。
・・・って、実際使ってればすぐわかる事なんだけどね。
fbは自分中心のツールでもないし、リアルが主でその補助となるツールなのでリアルとのリンクがなにかしら必要なのはしょうがない。
もちろん、漏れるとか、APIで抜けるとかに関しては別な話。
Re: (スコア:0)
電話番号に二段階認証用のコードが届きます
Re:毎回思うが (スコア:2, すばらしい洞察)
だから?
そもそも「FACEBOOKのサービスの提供に電話番号必要ないだろ」
2段階認証なんぞなんの関係もない話。それこそ「必要もないのに電話番号で2段階認証させて、それを漏らしている」
=セキュリティの劣化
でしかないわけだが。今回の例のように。
「今回のように必要もないのに登録させて、それを漏らしている」
それがすべてなのだから。
「初回登録時、本人が使用している要素の確認であれば認証URLメールでなんの問題もない。」
http://it.srad.jp/comments.pl?sid=665504&cid=2867565 [it.srad.jp]
>「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」
の通り。そもそも「いらんもの登録させなければ起こらない問題でしかない」
大体、
「電話番号から氏名を検索って必要な機能なのか?電話番号を知ってる人間なら氏名は知ってるだろうよ。
氏名は知ってて電話知らない(教えたくない)ってのはあっても逆はないだろ」
#一昔前までは「セキュリティの穴になるから不要な情報は集めない、表示しない」が「セキュリティの常識、アプリ開発者の常識」だったんだがなぁ
#ビッグデータにしたいがためにセキュリティ軽視してなんでも間でも情報集めて理由が「セキュリティ向上」とは笑わせるわWWWW
#実際は漏えい時の被害広げてるだけなのに
#そもそも乗っ取られた時点で、乗っ取った人間は、電話番号もメアドも同時にすべて自分のものに変更してしまえばいい話。
#逆にそれで、「前のメアドと旧電話番号もどちらか使えないと認証できない」なら本当に両方変更が必要な人間からは
#変更不可の欠陥にしかならんよ。
Re: (スコア:0)
まあメールなんて必ず本人に届くかどうかわからんものより
電話番号へSMS送った方が安心だよね、という企業側から見た安全性なのでは
力説してるけど、あまり説得力を感じないなぁ
それ説得力を感じない (スコア:1)
届かないようなメールアドレス登録してくるやつがアクセスできないほうが企業側から見て安全ともいえる。
単に、電話番号のほうが変えにくいだろうことが企業側から見て便利なんだろうな、と思うけど違うかな。
元ACの、個人情報保護のために「不要な情報を集めない」という意見はごく普通だよね。
Re: (スコア:0)
メールはパスをハックすりゃ本人じゃなくてもいくらでも見れちゃうけど
電話を違う端末で本人以外が代わりに受信することは難しいよね、ってだけかな
不要な情報は集めないのはふつうだけど、不要かどうかの判断が個人の感情論に
依存してるのがどうなのかな。本当に不要かどうかがユーザーが判断できるのかしら?
不要かどうかと、自分が出したいか出したくないかをごちゃまぜにしてるだけかと
Re: (スコア:0)
馬鹿
Re: (スコア:0)
①〜③ともパスワードやセキュリティコードを盗まれたら終わり。
盗まれたことに気づかなければ、ずっと個人情報抜かれっぱなし。
二段階認証で自分の電話にコードが届けば、電話を盗聴されない限り
コードを知ってるのは自分だけ。
万が一コードを盗まれても他の端末からは使えない。
パスワードが盗まれて誰かがログインを試みても自分の電話にコードが
届くからすぐ気づく。
電話を盗まれたら電話を止めればいい。
アカウントを止めるための緊急措置もある。
もちろんサービスに必要ない個人情報を取得したり、
それらを漏洩させたりすることを擁護するつもりはないけど、
電話にコードを送る二段階認証よりも簡単・安全な方法があるなら教えてほしい。
少なくともお前の言う①〜③はセキュリティの認識が甘すぎる。
Re: (スコア:0)
>二段階認証で自分の電話にコードが届けば、
>アカウントを止めるための緊急措置もある。
それすべて、「元々登録に必須なメールアドレスだけでもできることでしかないですが」
>二段階認証で自分の電話にコードが届けば、
メアドにメール送って認証用URL送ればいい話だわな・
>>アカウントを止めるための緊急措置もある
同じ
メアド以外に電話要求する理由全くない
Re: (スコア:0)
そのメアドアカウントがクラックされてたり誰かに盗み見られてたりする可能性を想像できないのか…
タイトルが逆だよ (スコア:1)
「電話番号から氏名などを抜き出せることが問題」
ではなく、
「非公開設定のはずの携帯電話番号が特定されてしまうことが問題」
なんだよ。
わかってない人多すぎ。
Re:タイトルが逆だよ (スコア:1)
『「シンプルなアルゴリズム」で1万件の携帯電話番号を生成し、Facebook API経由でそこからユーザーの情報を取得できた』
と書いてあるのは読んだ?
# 人のことをわかってないという前に自分がわかっているのかどうか確認しようよ。
# 最近こんなようなことばかり書いているんだけどさ。
Re: (スコア:0)
横から
元ACの認識であってると思う。
正確には「非公開設定のはずの携帯電話番号も氏名などを抜き出せることが問題」
「電話番号を公開設定にしているなら電話番号から氏名などを抜き出せることは問題ない」
>『「シンプルなアルゴリズム」で1万件の携帯電話番号を生成し、Facebook API経由でそこからユーザーの情報を取得できた』
の中に「電話番号非公開のユーザーも検索できたデータが含まれた」
のが問題なんですよ。
Re:タイトルが逆だよ (スコア:1)
それだと
>「電話番号非公開のユーザーも検索できたデータが含まれた」
さえなければ問題ないというように読めるんだけど、多くの人の合意事項としてそれで間違いないのかな?
それが問題じゃないというのなら元ACが正しいんだろうけど、その元AC自身が「わかってない人多すぎ」と書いている以上、問題だと考える人が(多数派であるかどうかは別として)多くいるってことは理解できないはずはないと思う。
# 少なくとも私は「デフォルトで」そんなことができるのは大きな問題だと思っている。
# 自分で検索可能なように設定してくださいというなら大いに結構だと思うけど。
そういったことを考えた上で、それを問題と考える風潮が良くないから是正しようというのであれば、たとえそれが自分の意見と異なっていても一つの見識として評価しようと思う。
しかし、あんな書き方をしたら、左翼の連中が正論っぽいことを言い連ねてもほとんど支持を得られないのと同様の結果しかもたらさないよと言いたいわけですよ。
# 雑談の場で小難しいこと言うなって?まあそりゃそうなんだけどさ。
Re: (スコア:0)
プロフィールに電話番号を公開している時点で、
結局は電話番号と氏名のひも付のリストは作れてしまうので、問題はないのでないかと。
電話番号でなく、読みでもプロフィールは検索できますし、そこでプロフィールの電話番号も拾えます。
なので電話番号でなく50音を生成してAPIたたいても同じです。
もちろん電話番号からの検索がデフォルトオフであるべきことには同意しますが、
それでは今回の件について何一つ解決にならないのです。
>「電話番号を公開設定にしているなら電話番号から氏名などを抜き出せることは問題ない」
公開設定の場合、機能があってもなくても結果一緒なんですよ。問題ないのではなく、問題にしても変わらない
なので結果
>「非公開設定のはずの携帯電話番号も氏名などを抜き出せることが問題」
になるのです。氏名検索では見えないはずのプロフィールが見えていることになるのですから
名簿を作成 (スコア:1)
また別の「使い方」として記事にもあるようにランダム生成の電話番号からプロフィール付きで生きてる電話番号がわかるというところがまたアレなわけだな……。
(この方法は電話番号だけでなくメールアドレスもだけど電話番号よりは自動生成しにくいからな……。)
Facebookの「設定」→「プライバシー」の「私を検索できる人」の設定を確認して、これを狭い範囲に設定すればまぁ取り敢えずは大丈夫な筈。
そもそも論 (スコア:0)
Facebookって、電話番号も名前も名詞に刷ってばらまくような「一人前」が使うもんじゃなくて?
Re: (スコア:0)
会社の名刺に個人持ち携帯電話なんて載せてたら365日24時間サポートの電話かかってくるわ
Re:そもそも論 (スコア:2)
意識の高い人たちがよく使ってる個人の名刺みたいなもんでしょ?
Facebookを強制してるらしい武雄市とか一部の企業に勤めてたら他人事じゃないけど
Re: (スコア:0)
会社の名刺なら会社の電話番号。てことは、FBも会社の電話番号を登録すればいい
個人事業主の名刺なら自分とこの電話番号。そりゃばんばんかかってくるのもビジネス
どうであれ (スコア:0)
他人に教えた物は、その時点で自分の管理を離れるってこと
相手の会社の善良な管理者の注意で管理されていても漏れちまったら取り返せない
実名登録のメリットも有るんだろうけど、デメリットのほうが遥かにでっかい
携帯を複数持っているんだったら捨てられない番号と捨ててもいい番号を
使い分けて自分の安全を確保したほうがいいんじゃないのかな
しょせんSNSだもの偽名でいいじゃん
Facebookに携帯電話の番号を登録するのは控えたほうが良さそうだ (スコア:0)
自分が登録しなくても友人のアドレス帳経由で登録されちゃうんじゃないの? Facebookに友人がいる限り回避不能だと思うんだけど。
Facebook Messenger (スコア:0)
ランダムな電話番号をアドレス帳に登録して同期させたら友達()が2000人も出てきた
GmailやGoogleアカウントから本名を取り出せる (スコア:0)
今年から二段階認証になったせいでIDわかれば登録されている名前がわかるようになってる
Re:GmailやGoogleアカウントから本名を取り出せる (スコア:5, 興味深い)
確かに、Google のログイン画面に ID(メールアドレス)だけを入力して次の画面に行った際に、パスワード入力画面に名前が表示される仕様になりました。
Cookie を消去したり、Google にログインしたことのないブラウザから試しても「名前」が表示されるので、一見「IDわかれば登録されている名前がわかるようになってる」のだと思いましたが、実は違いました。IPアドレスも変えると、表示されなくなりました。
ブラウザの Cookie に割り当てられる固有IDで当該ブラウザで過去にログインしたことが確認できた場合や、過去ログインに成功したIPアドレス(またはISP+地域)であることの確認ができた場合にのみ、表示されるようです。従って、同じパソコンを共有している人や、同じIPアドレスを共有している人に名前を知られるリスクはありますが、それ以外の人にIDから名前が特定されることはありません。
たぶん、フィッシング詐欺対策でこういった実装にしたのだと思います。
追記 (スコア:2)
Google+ に登録していない場合の話です。
Google+ に参加している場合(一時期、Google アカウント作成時にほぼ強制登録になっていました)には、もともと、ID(メールアドレス)だけから登録した名前が分かる仕様です。
そもそも (スコア:0)
Facebookって個人情報を自ら垂れ流す為のツールでしょ。
何の問題もない。