ほぼ無名のデータ企業がFacebookやLinkedIn、Twitter、Zillowなどのサイトやソーシャルネットワークから入手したデータを組み合わせて、4800万件の個人プロフィールを構築することができたという。ユーザーはそれを知らされておらず、同意もしていない。
ワシントン州ベルビューに拠点を置くLocalBloxによると、同社はウェブなどから「さまざまな形式のデータを自動的にクロール、発見、抽出、インデックス化、マッピング、および補強する」という。2010年の創業以来、同社は一般にアクセス可能なデータソース(例えば、FacebookやTwitter、LinkedInなどのソーシャルネットワーク、不動産サイトのZillow)からのデータ収集に注力し、プロフィールを作成してきた。
しかし2018年に入って、公開されているがリストには掲載されていない「Amazon S3」ストレージバケット上の大量のプロフィールデータが、誰でもその中身をダウンロードできる状態になっていたことが明らかになったいう。
「lbdumps」というサブドメインに置かれたそのバケットには、解凍すると1.2テラバイト以上の単一ファイルになる1つのファイルが含まれていた。このファイルには、一般公開されているプロフィールから収集および統合された後でまとめられた4800万人の記録が記載されていた。
そのデータは後に、セキュリティ企業UpGuardでサイバーリスクリサーチ担当ディレクターを務めるChris Vickery氏によって発見された。Vickery氏は2月下旬、LocalBloxの最高技術責任者(CTO)のAshfaq Rahman氏にデータ流出を知らせた。それから数時間後に、問題のバケットのセキュリティが確保された。
Vickery氏は先週、ニューヨークで自らそのデータを米ZDNetに見せてくれた。
そのデータは、人が読める、改行で区切られたJSONファイル内に収められていた。収集されたデータには、FacebookやLinkedIn、Twitterのプロフィールから入手した名前や住所、雇用情報、職歴データなどが含まれている。
米ZDNetがLocalbloxに取材したところ、Ashfaq Rahman氏は、Vickery氏が一般にアクセス可能なS3バケットに「侵入」したと述べた。(Vickery氏はこれまでにも、倫理的に厳格に、法の認める範囲内で取り組み、責任を持ってデータの露出を公表しているとしている)。Rahman氏は、数時間後にこのバケットの権限を制限した理由について、明らかにしようとしなかった。
CNET Japanで全文を見る
0 件のコメント:
コメントを投稿