マイキー・キャンベル
· 1分で読めます
セキュリティ研究者が、Instagram のウェブサイトに、ユーザーの連絡先情報が数か月間公開されたままになる欠陥を発見した。この欠陥により、悪意のある人物が数千人の電話番号や電子メールアドレスを含むデータベースを作成できる可能性がある。
データサイエンティストでビジネスコンサルタントのデイビッド・スティアー氏は今年初め、Instagramのウェブサイトで、一部のユーザープロフィールのソースコードに一般公開ページでは公開されていない個人の連絡先情報が含まれているという問題を発見したとCNETが報じている。
スティアー氏は、2018年10月まで遡るInstagramプロフィールのアーカイブ版を引用し、個人、未成年、企業のページを含む数千のアカウントがこの欠陥の影響を受けたと考えている。スティアー氏は2月にInstagramにこの問題を報告し、同社は3月にパッチをリリースした。
CNETが指摘したように、今回の暴露は写真共有サービスから機密情報を収集する絶好の機会となりました。問題の4ヶ月間に、悪意のある人物がInstagramのウェブサイトのソースコードをスクレイピングするだけで、ユーザーの連絡先情報の膨大なデータベースを作成できたと推測されています。
そのようなリストの一つは、すでに使用されている可能性があります。月曜日の報道によると、インドのソーシャルメディアマーケティング会社Chtrboxが管理するセキュリティ対策の不十分なデータベースから、同社と関係のないユーザーを含む数百万のInstagramインフルエンサーアカウントに関連付けられた個人連絡先情報が漏洩したことが明らかになりました。その後の調査で、データベースには4,900万件のレコードが含まれていることが判明し、その日のうちにリストがAmazon Web Servicesから削除されるまで、その数は増加し続けました。
水曜日の報道によると、Chtrboxは声明で、収集した情報は非公開ではなく、非倫理的な方法で収集されたものでもないと述べた。Instagramの利用規約ではプロフィールのスクレイピングが禁止されているが、Chtrboxは一般ユーザーが容易に入手できないデータをどのように入手したかについては詳細を明らかにしていない。
InstagramはStierの報告とChtrboxデータベースの両方を調査している。
「メールアドレスや電話番号を含む、記載されているデータがInstagramのものか、それとも他の情報源のものかを把握するため、この問題を調査しています」と、Instagramの親会社であるFacebookは月曜日の声明で述べた。「また、Chtrboxに問い合わせ、このデータの出所と、どのようにして公開されたのかを把握しています。」
ソースコードの混乱が起こる1年前、Instagramは同様のプライバシー騒動に巻き込まれていた。ハッカーが同サービスの開発者APIのバグを悪用し、著名人のアカウントに紐付けられた電話番号やメールアドレスを盗み取ったのだ。
