データ流出が報告されるも、Facebookは修復を拒否
ある研究者が、ユーザーが非公開を選択している場合でも、Facebookのアカウントと電子メールアドレスを関連付けることができるツールを公開し、ソーシャルネットワーキングサービスの巨大企業のセキュリティにさらなる打撃を与えています。
Ars Technicaによると、脆弱性の鍵となったのは、Facebook Email Search v1.0というツールで、1日あたり最大500万件のメールアドレスとアカウントを関連付けることができたという。
身元が明かされていないこのコンピューター科学者は、6万5000件のメールアドレスのリストを提供したにもかかわらず、Facebookからこの弱点は「重要ではない」と知らされ、報告を行うことにしたとビデオで説明しています。
研究者は、このツールが、Facebookが「修正するほど重要視していない」フロントエンドの脆弱性を悪用していると詳述しています。
Facebookは2021年初頭に同様の欠陥を修正したと報告していますが、専門家によると「本質的に」同じ脆弱性であるとのことです。“なぜか、このことをFacebookにデモして知らせたにもかかわらず、Facebookから直接「対策はしない」と言われたのです。
Ars Technicaによると、共有しないことを条件に報告書のビデオを入手したとのことです。
誤って終了したインシデント
フェイスブックはウェブサイトで発表した声明の中で、この事件は関連チームに送られる前に「誤って」却下されたようだと述べている。
「当社は、研究者が情報を共有してくれたことに感謝し、彼らの提言をよりよく理解するためにフォローアップしながら、この問題を軽減するための初期対策を講じています」と述べています。
しかし、研究者が報告したように、なぜ問題を解決するほど関連性がないと考えたのか、同社からは回答がなかった。
5億3千万人以上のユーザーのアカウントデータベースが再流出し、フェイスブックがセキュリティ対策について一連の疑問に直面していることを受けての報告である。
オランダの出版社DataNewsによると、Facebookは誤って送信した電子メールで、広報担当者に「業界全体の問題として捉え、この行為が定期的に発生していることを正常化する」ように指示したという。