インドのセキュリティ研究者Facebookの電話番号600万人分抜いたった。

さてインドのセキュリティ研究者が簡単なスクリプトでFacebookの脆弱性を突いて電話番号と名前を抜いてフェイスブックに電話番号登録するのは危険だと警告しています。

フェイスブックで「モンスター退治したったw」って小学校教師がニュースで報道されるとかインターネットで個人情報晒すことに抵抗のない人が多すぎてビックリしています。

顔写真、本名、勤務先、学校等の個人情報晒していい事無いのでネットに書き込む時はフェイスブックのアカウント数の10億人ぐらいに見られる事自覚して書きましょう。

ネタ元: Facebook に大量の電話番号を取得できるセキュリティホール発覚 | スラッシュドット・ジャパン IT.

インドのセキュリティ研究者 Suriya Prakash 氏は、Facebook の検索で簡単に個人情報が引き出せてしまうことから、Facebook に電話番号を登録するのは危険だと主張してきた。

簡単な検索で電話番号と個人名が簡単に入手でき、オレオレ詐欺のような用途に使用可能だとしている (Suriya’s Blog の記事、The Next Web の記事、本家 /. 記事より) 。彼はこのことを証明するため電話番号と同じ桁数のランダムな数字を生成し、検索を行う簡単なスクリプトを書いて 600 万人分の携帯電話番号と名前を収集してみせた。

Facebook では検索回数に上限が設けられているが、モバイル画面の検索ではこれを回避することができる。ひと月ほど前にこの問題点を Facebook 側にメールし、電話番号から簡単に検索できるシステムをやめるよう警告を促したものの、Facebook からの回答は「電話番号検索は意図的な仕様なので問題ない」というものだった。

10 日になってこの問題がメディアや専門家によって報じられるようになると (TECHWORLD の記事、Alert Logic の記事) Facebook 側はこの電話番号で人を検索する機能は意図的なものではなくバグであると公表した。Facebook の Fred Wolens 氏から本家 /. に対してこの「意図的な仕様バグ」を修正したと連絡があったという。プライバシー設定を変更することで検索の悪質な利用を防止するシステムを開発し、検索できる速度や回数に制限を加えることでこの問題に対処したとしている。

しかし、Prakash 氏が追試したところこれまで通り電話番号を取得可能だとしている。

広告