Facebook社は6月21日(米国時間)、バグによって600万人のFacebookユーザーの個人的な連絡先情報が漏洩したことを明らかにしたが、あるセキュリティ研究者のグループによれば、状況は当初考えられていたより深刻なようだ。

バグの報告などを支援する「ホワイトハット」ハッカーを抱えるPacket Storm社が26日に公開した記事によると、Facebook社は、21日にユーザー宛ての電子メールで漏洩について報告した際、流出した情報の程度を実際より少なく報告していたという。

このバグは、「Download Your Information」(DYI)と呼ばれるツールを使ってFacebookアカウントの履歴をダウンロードしたときに、本来なら絶対に共有されないはずの一部の友達のメールアドレスや電話番号を意図せず入手できる状態にするものだった。Facebook社は、影響があったユーザーに対して流出があったことをメールで知らせている。だが、Packet Storm社によれば、Facebook社は漏洩したデータの種類を実際よりも少なく報告したほか、Facebookユーザーでない人たちにはこの事実を知らせなかったという。

「われわれは、Facebook社からのお知らせメールの内容とテストケースのデータを比べてみた。あるケースでは、Facebook社はさらに1つのメールアドレスが流出したと説明していたが、実際に流出したデータは4つだった。別のユーザーでは、流出した7つのデータのうち、3つについてしか説明がなかった」とPacket Storm社は報告している。

Packet Storm社はさらに、「『あなたについてそれ以外の情報は漏洩しませんでした』という(Facebook社の)説明は、事実から目をそらそうとしているかのようだ」と続ける。「われわれはFacebook社に対し、Facebookユーザーではない、情報が流出した人たちについてはどうなるのかと尋ねた。その答えは、彼らが連絡を取って来なかったので事実は知らされなかった、というシンプルなものだった」という。だが、「十億のユーザーが連絡先情報をアップロードすれば、Facebookを使っている友達も使っていない友達も、すべて(Facebookに)保存され、関連付けされることになる」とPacket Storm社は指摘している。

Facebook社は21日、「ユーザーに対して、より適切に友達を推薦できるようにする」ために、オフサイトの(コンピューターやスマートフォンに保存されている)データを利用していると説明した。これは、どのFacebookユーザーにも「影のプロフィール情報」が存在する可能性があることを意味する。このプロフィールには、(「いいね」や友達とのつながりを示すデータなど)元から公開されている情報だけでなく、2つ目、3つ目のメールアドレスや電話番号など、厳重に保護している情報が、誰とも共有していない場合であっても、含まれることになる。しかもこのような情報を、友達からだけでなく、友達の友達からも取得できるのだ。

米ハフィントン・ポストはFacebook社に対してコメントを求めたが、回答は得られていない。ただし、同社はテクノロジーサイトのZDNetに対し、DYIツールを現在使用しているユーザーの数は公開していないと述べている。また、21日の投稿では、「ダウンロードしたデータには、他のメールアドレスや電話番号も含まれていたが、それらの情報は、どのFacebookユーザーにも、そしてもちろんどの個人名にも関連付けられていなかった」と説明している。

一方、Packet Storm社は21日の記事で、「Facebook社がこのツール(DIY)に残した欠陥のおかげで、一致するデータがあれば、その同じユーザーに対して他のユーザーが実行したアップロードのデータからも連絡先情報が保存され、膨大な人名簿を簡単に作成できる状態になっていた」と述べている。

Facebook社が28日夜にこのバグについて報告して以来、Facebookユーザーは同社が明確に謝罪していないことを批判している。「『申し訳ありません』という言葉はどこにもなく、ただ弁解しているだけだ。これは許しがたい」とあるユーザーは記している。

[Drew Guarini'(English) 日本語版:佐藤卓/ガリレオ]