パスワードを忘れた? アカウント作成
6540238 story
Facebook

パスワードなしで他人のFacebookアカウントにアクセスできる問題が発覚 33

ストーリー by headless
検索 部門より
Facebookのサイト内を指定して特定のURLパターンをGoogleで検索すると、パスワードなしでFacebookアカウントにアクセス可能なリンクが表示されるという問題が発覚した。これを受けてFacebookでは、この機能を無効化する措置をとったそうだ(Matt Jones氏によるHacker NewsへのポストBBC Newsの記事The Next Webの記事)。

Facebookからのメールには、パスワードなしで自分のアカウントに直接アクセス可能なリンクが用意されていることがある。このURLパターンを指定してGoogleで検索すると、リンク先ページが大量にヒットし、他人のアカウントにパスワードなしでアクセスできる状態だったという。ただし、パスワードなしでのアクセスが可能なのは1回のみなので、本人が先にリンクをクリックしていればパスワードなしでアクセスされることはなかったようだ。なお、FacebookではこれらのURLを検索可能な状態にしたことはないとしているが、この機能は安全な方法が確立するまで無効化するとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年11月04日 17時57分 (#2265706)

    某電鉄会社の運行情報その他メルマガが、メールについてくるURLから自分のプロフィールページに行ける仕様でした。
    1件Googleにインデックスされていて、ある方のメアド・年代・性別が表示される状態でした。
    (指摘したところ素早い対応がとられ、のちにパスワードが導入されました)

    • by Anonymous Coward on 2012年11月05日 0時24分 (#2265841)

      > 1件Googleにインデックスされていて、ある方のメアド・年代・性別が表示される状態でした。

      それは、たとえばその人が自分用のブックマークHTMLなどをネット上に置いている人で
      さらにクロール拒否などの宣言をしていなかったから
      クローラにより拾われただけでしょう。

      親コメント
  • by Anonymous Coward on 2012年11月04日 16時58分 (#2265666)

    GMail?、Chrome?
    どこから漏れてるんだ?

    • by Anonymous Coward on 2012年11月04日 17時12分 (#2265673)

      俺Chrome使ってないからGmailの方だと思う

      親コメント
      • by Anonymous Coward

        結論から言うと、ウェブメール+ツールバー系らしいよ。Bingの検索結果にも漏れてるらしい。ただし、Chromeは何もインストールしていなくてもツールバー系に含むので、ChromeでGMailを読んだりすればアウト。

        • by Anonymous Coward

          > ChromeでGMailを読んだりすればアウト。
          アホかw

    • Refererとか?
      一発でリダイレクトされてたなら不可能ですが。
      親コメント
    • by Anonymous Coward

      >なお、FacebookではこれらのURLを検索可能な状態にしたことはないとしているが

      「検索可能な状態にしたことはない」とは誰も言ってないよ!

      • by Anonymous Coward

        技術的にクロールとブラウジングに違いがあるわけないじゃん。
        問題は外部からリンクされていないメールの中にしかないURLをGoogleはどこから持ってきたかってことだろ。

        • by Anonymous Coward

          つGmail

          • もしそうだとしたら、他にも非公開のつもりのURLがクロールされている例が山ほど見つかる予感。

            親コメント
          • by Anonymous Coward on 2012年11月04日 21時56分 (#2265791)

            Gmailから漏れてるならもっと以前からもっと大規模な問題になってるでしょうね。
            さすがにいまさら
            「FacbookのパスワードリセットURLだけ」Gmailから漏れてるんだという主張は無理があります。

            実際のところでいえば、
            FacebookがポカでクロールできてしまうところにパスワードリセットURLのリストを置いていた、
            とかその程度でしょう。

            親コメント
            • by Anonymous Coward on 2012年11月05日 10時07分 (#2265909)

              「パスワードなしで自分のアカウントに直接アクセス可能なリンク」が、いつの間に「パスワードリセットURL」になった?

              # 友達を増やそう的なアレとかじゃないん?

              親コメント
            • by Anonymous Coward

              逆にGMailがスキミングしてるのに、URLだけ収集しないと信じられるところが不思議だわ。
              GMailかChromeのURL収集のどちらかで、Googleが機械任せで公開していい悪いの判断してなかっただけと考えるほうが自然。
              #2265706みたいに"1件だけ"Googleにつかまってるとかの事例があるということは、なにか、Googleに引っかかる条件があるはず。

              • Re: (スコア:0, 参考になる)

                by Anonymous Coward

                > 逆にGMailがスキミングしてるのに、URLだけ収集しないと信じられるところが不思議だわ。

                つまりAppleのメールサービスを使ってるMacユーザやiOSユーザはメールを全部スキミングされて収集されているんだということですね。

                > GMailかChromeのURL収集のどちらかで、
                > Googleが機械任せで公開していい悪いの判断してなかっただけと考えるほうが自然。

                そもそも論としてあなたは処理の認識自体が間違ってます。
                大手ほどプライバシーの懸念には敏感なので、
                特定アカウント内部という枠を超えた情報の取り扱いでは
                原文上の単語を直接扱わず、強制的に一方向ハッシュでハッシュ

              • by Anonymous Coward

                > 逆にGMailがスキミングしてるのに、URLだけ収集しないと信じられるところが不思議だわ。
                > GMailかChromeのURL収集のどちらかで、Googleが機械任せで公開していい悪いの判断してなかっただけと考えるほうが自然。

                収集はしていても、それらのルートから得たものは検索対象のデータにはしていないはず(建前上は)なので、
                そのルートで検索対象のデータになっていたのだとしたらGoogle側のミスの可能性が高い。

                そうでないなら、どのルートから登録されたのかを(FacebookがGoogleに対し)調査依頼すべきだと思う。

              • by Anonymous Coward

                あなたの意見は
                「陰謀論が成立するなら、陰謀論が矛先を向けている対象が悪い」
                という、歪んだ見方をさらに加速させようとする意見になってしまっていますよ。

          • by Anonymous Coward

            こういうことか。
            http://www.youtube.com/watch?v=TDbrX5U75dk [youtube.com]

    • by Anonymous Coward

      メールで取得した「ボクと友達にならないか」リンクを、Twitterに貼ったらアウト。ってこと。

    • by Anonymous Coward

      誰一人、「Matt Jones氏によるHacker Newsへのポスト」を読んでいないのか...

      雑談サイトの限界だな

      • by Anonymous Coward

        すみません、読める言語で書いてなかったもので。

        # 翻訳してくれると嬉しいなあ

        • by Anonymous Coward

          オランダ語あたりか?と思ったら、日本では義務教育で習う言語じゃないか。
          でも、長いスレッドなので、#2265866 [srad.jp]のACさんは、どこのことを言ってるのか示してくれるとありがたい。

          それにしても、fbの技術者はど素人なのか? [we] "never make them publicly available." じゃないだろ。URLに秘密情報入れんな。

  • by w1allen (21025) on 2012年11月04日 17時54分 (#2265704)

    先日Facebookを始めた者にとっては、怖い話でした。でも、友達がいるからやめられない。

  • by Anonymous Coward on 2012年11月04日 17時28分 (#2265687)

    Webメールの場合メール本文が暗号化されていないことがあるわけだし,
    メールは特定個人のみが読めるわけではないですよね

    • by Anonymous Coward

      メールなんて旧世代のプロトコルは窓から投げ捨ててFacebookで連絡しなさいとか

    • by Anonymous Coward

      文面暗号化だけでいい(身元保障はしない)ために、Gmail他の主要プロバイダは自動でS/MIME証明書発行してほしいなぁ...

  • by Anonymous Coward on 2012年11月04日 20時56分 (#2265767)

    電柱にQRコードでも張って誘導する詐欺が発生しそうだな。もうあるのかな?spamサイトへ誘因するようなやつじゃなくて、振り込めみたいなタイプね。

typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...