フェイスブックは金曜朝、 2018年の同社を特徴づける一連のプライバシーおよびセキュリティ上の不備の最新版を公表した。9月の約2週間、バグにより、サードパーティの開発者が最大680万人のフェイスブックユーザーの写真を、ユーザーが共有したかどうかに関わらず閲覧可能だった。
Facebookは最終的に、影響を受けたユーザーに通知を送信し、発生した事象の詳細と、どのアプリに写真が保存されている可能性があるかを示すページへと誘導します。しかし、待つ必要はありません。今すぐこのページにアクセスして、自分がこの脆弱性の影響を受ける数百万人の一人かどうかを確認できます。Facebookログインを使用してアプリにログインし、写真へのアクセスを承認している場合、潜在的なリスクがあります。876の開発者による最大1,500のアプリが、プライベートな写真にアクセスできた可能性があります。
これは理想的とは言えません!Facebookが金曜日の開発者向け投稿で指摘しているように、これらの権限はタイムラインに共有された写真に適用されるはずです。このバグにより、開発者はマーケットプレイスやストーリーズなど、Facebookの他のエリアに共有された写真にもアクセスできてしまう可能性がありました。さらに深刻なのは、Facebookにアップロードしたものの共有しなかった写真にもアクセスできてしまう可能性があったことです。ただし、Messengerの会話で共有された写真には影響がなかったという小さな救いがあります。
開発者向けFacebook
Facebookによると、このバグは9月13日に発生し、セキュリティチームが9月25日に発見・修正したとのことだ。後者に聞き覚えがある人もいるかもしれないが、それはFacebookがハッカーによる3000万人のユーザーアカウントへの不正アクセスを発見したのと同じ日だ。しかし、Facebookがこの災難を公表したのは9月28日だったものの、Photos APIの混乱に関するニュースを発表するまでには数ヶ月を要した。これは2つのことを意味する。9月25日はFacebookのセキュリティエンジニアにとって最悪の日だったということ、そしてFacebookが欧州の規制当局から問題視される可能性について正当な疑問が生じているということだ。
今年初めに施行された欧州の一般データ保護規則(GDPR)では、企業に72時間以内にデータ侵害を当局に報告するよう義務付けられています。FacebookがフォトAPIの問題を最初に発見してから、すでに72日以上が経過しています。
しかし、これは必ずしも同社が規則を回避したことを意味するわけではない。Facebookは、そもそもこのインシデントがGDPR違反に該当するかどうかを調査するために時間が必要だったと主張し、その判断から72時間以内に関係当局に報告した。同様に、Facebookは影響を受けたユーザーへの通知に時間がかかったのは、開発者を特定して連絡を取り、ユーザーにデータ保護に失敗したことを通知するための「意味のある方法」を構築するのに時間が必要だったためだと述べている。Facebookが今年何度も通知を余儀なくされたことを考えると、今頃はもう対応できているはずだと思われるだろう。
公平を期すために言うと、GDPRに関する問題は完全に単純明快なものではありません。企業は、侵害が「権利と自由へのリスクにつながる可能性が低い」場合、72時間以内に規制当局に通知する義務を免除され、「権利と自由へのリスクにつながる可能性が高い」場合にのみ、個々のユーザーにインシデントを警告する必要があります。GDPRは、何がそのレベルに該当するかについていくつかのガイドラインを示していますが、解釈の余地も大きく残されています。ハッカーが銀行口座番号や暗号化されていないパスワードにアクセスできれば確かに該当しますが、プライバシー専門弁護士は、APIを通じて開発者に公開される写真は、より曖昧な領域であると述べています。
一方、Facebookはこの問題をまだ完全に解決していません。同社は来週初めにアプリ開発者向けのツールを公開し、影響を受けた可能性のあるユーザーを特定できるようにするとともに、不適切なアクセスを許可した写真の削除をさらに支援すると発表しました。Facebookはまた、影響を受けた場合は、Facebookフォトへのアクセス許可を付与したアプリにログインし、アプリにどのような写真が保存されているかを再確認することを推奨しています。こうした個人監査の他に、Facebookがすべての開発者が不正な写真をすべて削除することを保証できるかどうかは不明です。
最も厳格な企業でさえ、バグは発生します。「脆弱性が全くなくなる状態に到達することは決して期待できません」と、バグ報奨金制度のある開発組織HackerOneのCTO、アレックス・ライス氏は言います。「そして、なぜいまだにセキュリティバグやプライバシーバグが残っているのか、なぜこのようなことがまだ起こっているのか、という怒りや非難、そして不満が渦巻いています。」そして最も重要なのは、企業が問題発生時にどのように対応するのかということです。2018年のFacebookにとって、その答えは紛れもなく複雑でした。
この最新の事件は、Facebookにとって既に悲惨な一年に、(願わくば!)暗い締めくくりを添えることになった。信じられないかもしれないが、ケンブリッジ・アナリティカのスキャンダルが始まったのはわずか9ヶ月前だった。それ以来、Facebookがユーザーデータを不適切に扱ったこと、フェイクニュースの拡散を阻止できなかったこと、ジョージ・ソロスを野党調査に利用したことなど、新たな事実が次々と明らかになり続けている。
フォトAPIの件は、深刻度と範囲の両面でこのリストの中では低いランクにランクされています。しかし、おそらくFacebookにとって最も痛手となるニュースはこれでしょう。700万人近くのプライベート写真が流出したにもかかわらず、昨年の業績を振り返ると、ほとんど目立った変化はありません。
リリー・ヘイ・ニューマンによる追加レポート
WIREDのその他の素晴らしい記事
- 5Gの可能性について知りたいことすべて
- WhatsAppがインドでフェイクニュースと暴力を助長している
- ブルーレイが復活し、ストリーミングがすべてではないことを証明
- インテルの画期的な技術がチップ製造方法の見直しを迫る
- トランプワールドでミューラーを最も恐れるべき9人の人物
- 👀 最新のガジェットをお探しですか?おすすめ商品、ギフトガイド、お得なセールなど、一年を通してチェックしてみてください
- 📩 毎週配信されるBackchannelニュースレターで、さらに多くの内部情報を入手しましょう
