パスワードを忘れた? アカウント作成
6477643 story
Facebook

Facebook に大量の電話番号を取得できるセキュリティホール発覚 12

ストーリー by reo
勘弁してよー 部門より

taraiok 曰く、

インドのセキュリティ研究者 Suriya Prakash 氏は、Facebook の検索で簡単に個人情報が引き出せてしまうことから、Facebook に電話番号を登録するのは危険だと主張してきた。簡単な検索で電話番号と個人名が簡単に入手でき、オレオレ詐欺のような用途に使用可能だとしている (Suriya's Blog の記事The Next Web の記事本家 /. 記事より) 。

彼はこのことを証明するため電話番号と同じ桁数のランダムな数字を生成し、検索を行う簡単なスクリプトを書いて 600 万人分の携帯電話番号と名前を収集してみせた。Facebook では検索回数に上限が設けられているが、モバイル画面の検索ではこれを回避することができる。ひと月ほど前にこの問題点を Facebook 側にメールし、電話番号から簡単に検索できるシステムをやめるよう警告を促したものの、Facebook からの回答は「電話番号検索は意図的な仕様なので問題ない」というものだった。

10 日になってこの問題がメディアや専門家によって報じられるようになると (TECHWORLD の記事Alert Logic の記事) Facebook 側はこの電話番号で人を検索する機能は意図的なものではなくバグであると公表した。Facebook の Fred Wolens 氏から本家 /. に対してこの「意図的な仕様バグ」を修正したと連絡があったという。プライバシー設定を変更することで検索の悪質な利用を防止するシステムを開発し、検索できる速度や回数に制限を加えることでこの問題に対処したとしている。

しかし、Prakash 氏が追試したところこれまで通り電話番号を取得可能だとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • この機能、当然なのですが電話番号ではなくメールアドレスでも人を検索することが出来ます。
    Facebookで検索すれば、メールアドレスから、その人の名前、さらに友達の名前も入手できます。

    これを悪用すると、「山田ホゲさん、今井ヒゲさんがこんなサイトを紹介しています」というような、
    本人と友人の名前を使ったスパムメールを投げることが出来てしまいます。

    一回だけ実際に届いたことがあって、この時はメールアドレスがヘンテコだったので気づいたのですけど。
    検索を繰り返してデータベースの精度が上がってくれば、メールアドレスすら一致してしまう可能性がありますよね。

    検索されないようにする対策はこちら。
    hidekiy blog: Facebook アカウントをメールアドレスで検索されないようにするには : http://blog.hidekiy.com/2012/03/facebook.html [hidekiy.com]

  • by iwakuralain (33086) on 2012年10月16日 11時53分 (#2252078)

    問題ありません

    でも、一部のユーザーで気にされる方がおられる場合は前向きに対処いたします。

  • by Anonymous Coward on 2012年10月16日 11時25分 (#2252058)

    > 意図的なものではなくバグである
    > 「意図的な仕様バグ」
    まあtaraiokだしいつものことだが

    • by hahahash (41409) on 2012年10月16日 11時34分 (#2252068) 日記

      Facebookが同じ機能について「意図的な仕様」と言ったり「バグ」と言ったり、
      してることに対しての皮肉でしょう。

      #「どっちだよ」の言葉はFacebookさんに言ってあげてください。

      親コメント
    • by Anonymous Coward

      意図的なバグ

    • by Anonymous Coward

      いやだからどっちなんだよ、ってタレコミなんじゃないの?大丈夫かい?

      • by Anonymous Coward

        当初の主張「意図的な(ものであり)仕様」
        10日の主張「意図的なものでなくバグ」

        だから「意図的な仕様バグ」はマージミスじゃないの、って指摘じゃないの?

    • by Anonymous Coward

      分かりにくいから今度から戦略的バグか戦術的バグと言おう。

      • by Anonymous Coward

        どっちがどっちなのか説明してくれw

  • by Anonymous Coward on 2012年10月16日 13時39分 (#2252212)

    登録者の女の子の顔と電話番号とメルアドを並べて
    顔を比較するサイトを作ろう!

  • by Anonymous Coward on 2012年10月16日 17時39分 (#2252486)

    修正する!
    修正するが………
    今回 まだ その時と場所の
    指定まではしていない

    そのことを
    どうか諸君らも
    思い出していただきたい

    • by Anonymous Coward

      いまさらわざわざ貼るコピペかねえ。ドヤの顔が見たいわ。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...