パスワードを忘れた? アカウント作成
13891490 story
プライバシ

Facebook、最大150万人のユーザーからサインアップ時に連絡先情報を無断収集していたことを認める 37

ストーリー by headless
収集 部門より
FacebookがBusiness Insiderに対し、最大150万人のユーザーがサインアップする際に使用した電子メールアカウントから連絡先情報を無断収集していたことを認めたそうだ(Business Insiderの記事Mashableの記事The Guardianの記事SlashGearの記事)。

問題発覚のきっかけとなったのは、一部の電子メールサービスのアカウントを使用してFacebookにサインアップする際、電子メールアカウントのパスワード入力が求められると3月末に指摘されたことだ。パスワード入力が求められていたのはYandexなどoAuthに対応しない電子メールアカウントを確認するためとされていたが、批判を受けてFacebookは電子メールアカウントに送信したコードによる確認へ変更している。

ところが、変更前にBusiness InsiderがYandexで作成したアカウントを使用してFacebookへのサインアップを試したところ、パスワード入力後に「連絡先をインポート中」といったタイトルでキャンセル不能なダイアログボックスが表示されたのに続き、連絡先がなかった旨表示されたそうだ。Facebookによれば、電子メールパスワードによる確認とともに連絡先をアップロードするオプションを2016年5月以降削除したが、アップロード機能自体を削除しておらず、一部のユーザーが意図せずサインアップ時に連絡先をアップロードする結果となっていたようだ。

連絡先アップロード機能は電子メールパスワードによる確認処理の廃止に伴って機能しなくなったとみられるが、Facebookによれば最大150万人のユーザーが影響を受けるという。連絡先情報がアップロードされていたユーザーには個別に通知するが、連絡先情報は誰とも共有したことはなく、削除中だとも述べているとのことだ。

なお、Facebookが3月に数億人分のパスワードが可読状態で保存されていたと発表した際、影響を受けるInstagramのユーザーを数万人としていたが、18日にブログ記事が更新され、影響を受けるInstagramユーザーの数が数百万人に変更されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • なんで (スコア:3, 興味深い)

    by Anonymous Coward on 2019年04月21日 4時16分 (#3603005)

    AppstoreとGoogleplayの規約に違反してない?
    ストアからアプリ削除しないの?

    • by Anonymous Coward

      実際やったらIT大企業・法務決戦が見れるかもしれない
      (ちなみにAmazonにもFacebookアプリはある)

      Google・Apple・Amazon連合 vs Facebook
      だと、流石にFacebookの分が悪すぎるかな。どこか寝返らないだろうか。

      • by Anonymous Coward

        全部 privacy theft つながりで身内におとがめなしだろ

      • by Anonymous Coward

        モバイル市場においてFacebookはデカすぎる存在なので、アプリストアから消すことなんて不可能。
        AppleとGoogleが同時に削除するならいいけど、どちらか一方がやったら他方にユーザーが流れる可能性が出てくる。
        それほど一般人にとってFacebookの存在は大きい。日本だと理解できないだろうけど。
        もしFacebookアプリ消したらInstagramも引き上げる、と脅してくるだろうし、プラットフォーマーの方が分が悪い。

    • by Anonymous Coward

      自社管理下であるスマホの電話帳をLINEに盗られても手違いでしたですましてっからな。
      他社管理のデータ盗るのはそれより緩い処理で済んじゃうんじゃないかね。

      トレンドマイクロ共々会社潰す勢いで制裁しろよまじで……

      • by Anonymous Coward

        トレンドマイクロのウイルスソフトが販売復活したことから、信用しないな

    • by Anonymous Coward

      契約上削除できるってだけで削除する義務を負ってるわけじゃないからね
      「プライバシー優先はどうした?」と言ってやらないと

      「審査があるから有害アプリが少ない」なんてのも嘘っぱちだし

  • Facebookのアカウント登録時に、メールアカウントのパスワードを入力させるのは正しい対応です。

    何故ならば、そのメールアドレスを本当に所有していることを確認するのにあたって、パスワードを知っているかを確認するのは適切な手段だからです。

    アカウントの所有確認ならば、メールアドレスに認証用のURLを送ってクリックさせれば良いと思う人もいるかもしれません。
    でも、それだとユーザビリティが低下してしまうのです。

    ChromeブラウザでFacebookに登録しようとしている → メールが届いて通知が来る → 通知をタップしてメールを開く → リンククリックする → 普通のChromeでなくてメールアプリのアプリ内ブラウザでリンクが開かれてしまう(余計なお世話)

    と美しくない流れになってしまいます。

    一方、メールアカウントのパスワードを入力させる場合、

    ChromeブラウザでFacebookに登録しようとしている → メールアカウントのIDとパスワードを入力する → 即Facebookアカウントが作成され自動ログインできる

    と美しい流れでFacebookを使うことができます。

    Facebookにメールアカウントのパスワードを知られてしまうという問題がありますが、プライバシー等を気にする人はそもそもFacebook(世界中に実名と個人情報を晒して友達を増やすツール)なんて使わないから無問題でしょう。

    • by Anonymous Coward

      そのメールアカウント使って他の所で認証、あるいは再認証できてしまうんだが。
      恐ろしくないわけないよね。

      • by Anonymous Coward

        専用のメールアドレスを割り当てるから、無問題(すっとぼけ

        # そのパスワード、保管されてるに決まってるし。

    • by Anonymous Coward

      タレコミ文ちゃんと読んでる?
      以前はあなたのいう”美しい”ながれだったらしいよ。しかし今はやめたんだと。
      見かけの美しさより大事なものを見つけたんじゃないか。

      問題は、それでも”パスワードを入れさせるのを止めなかった”こと

      なんでブラウザと書けばいいものをわざわざChromeChomeと連呼するのか。

      • by Anonymous Coward

        おそらく皮肉のつもりなんだと思う。ちょっとわかりにくいかな。

    • by Anonymous Coward

      赤信号で止まると目的地到達に時間が余計にかかるしストレスだから止まらないのが正しい、みたいな糞理論。
      ユーザビリティ?美しい?安全を無視した仕組みにそんなもんあるわけないだろ。

      • >赤信号で止まると目的地到達に時間が余計にかかるしストレスだから

        もっと危ない場面ではそういう強気理論が通用しないと思うのです。たとえば
        ブラジルは治安がちょっと悪くて金持ち視されている日本人が襲われる事案が…
        と言っていた一昨日(違っていたらゴメン)のNHK地デジ総合のNW9の番組では
        赤信号で停車中に強盗に襲撃されないためにすることは信号が青に変わるまで
        交差点のずっと手前からゆっくり進めとプロの人をして解説させていた。

        親コメント
    • by Anonymous Coward

      Facebookのみならずインターネット上のサービスで全部同じIDとパスワードにすればユーザビリティは究極に高まるのではないか。

      • by Anonymous Coward

        OpenIDって結局流行らなかったね

  • by Anonymous Coward on 2019年04月20日 19時17分 (#3602851)

    よくわからん

    • Re:仕組みが (スコア:3, 参考になる)

      by Anonymous Coward on 2019年04月20日 21時18分 (#3602890)

      OAuth対応してないから、アカウントの認証情報を入力させてfacebook側でアクセスしてデータをゲットしたんじゃね?
      アカウントの確認が主目的で。

      まさのCriminal Enterpriseやな。
      ネット企業いろいろあったけど、ここまで悪どい企業なかったんじゃね。

      親コメント
      • by Anonymous Coward on 2019年04月20日 22時47分 (#3602928)

        ソーシャルグラフ構築が主目的でのデータ取得だと思うけど、
        それに関しちゃLINEもスマホで同じことしてた。
        後ろ暗いが表を歩ける程度に言い訳揃えてる企業としてはそこまで突出はしてない気がする。
        スパイウェアやスパイウェア機能付きモジュールとしては当たり前のような機能だろうし。

        まぁこの手の行為を重ねた数、被害者数でみると史上稀に見る規模ではあるか。

        親コメント
        • by Anonymous Coward on 2019年04月21日 2時14分 (#3602992)

          GAFAとか言ってるけど、Google・Amazon・Appleはグレーゾーンはあれ、ここまで露骨な問題はやらかしてないと思うんだけど
          Facebookは市場でのシェアがでかいとはいえ、他3社ほど多角的にサービスやってるわけじゃないし、とっとと潰しちゃうべきとは思うんだけどなぁ

          # 悪い意味での独占企業でしかないよね

          親コメント
          • by Anonymous Coward

            いつのまにかNetflixがいなくなっててワロタ

            • by Anonymous Coward

              いつのまにかNetflixがいなくなっててワロタ

              いつから居たんだよ。大手ではあるけど、GAFAには到底及ばんだろ。

              • by Anonymous Coward

                去年の数ヶ月間、FANG、FANGってやたら記事になってた時期がちょっとだけあった。もう死語になってしまったが。。

              • by Anonymous Coward

                あれはプラットフォーマーではなく株価急上昇組として使われたんじゃなかったっけ。

          • by Anonymous Coward

            三社ともFacebookと本質的に異なる点はない、原理的には同等に悪質。

            でもFacebookが一番問題ってとこには同意するわ。あいつらは社是のレベルでヤバい。
            大事な社内連絡はメールとIRCだったらしいしな。Facebook? Messenger? 売人が商品に手を出したらお終いやってわけ。

        • by Anonymous Coward

          LINEの場合は、端末内の連絡先情報にアクセスしたんじゃなかったっけ。だいぶ違うでしょ。

        • by Anonymous Coward

          他サービスのアカウントを乗っ取るのは、突出どころか次元が違うでしょw

      • by Anonymous Coward

        次は
        ・いつものように平文で保存されてた
        ・事故で流出してた
        ・内緒で売り飛ばしてた
        とかになるのかな

    • by Anonymous Coward

      「キャッシュカードが有効かどうか確認するので暗証番号教えてください」みたいなもん

  • by Anonymous Coward on 2019年04月20日 19時18分 (#3602852)

    訴えられたらやばそうな上流階級は除く

  • by Anonymous Coward on 2019年04月20日 19時30分 (#3602856)

    兵庫県県こういうことろで仕事しろよマジで

    • Re:完全に不正指令 (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2019年04月20日 19時35分 (#3602860)

      兵庫県こういうことろで仕事しろよマジで

      さてはhylomだなオメー

      親コメント
      • by Anonymous Coward

        ネットの世界って恐ろしいよね
        サイトの管理人さんが匿名で一般人のように書き込んでも、何故か特定されてしまう
        Tor等を使って完全にIPを隠しても同じ

        • by Anonymous Coward

          全書き込みAIに読みこませれば、スラドにコンスタントに書き込んでる奴なら、
          高い確率で同一Anonymous Cowardのカキコや、登録ユーザーがAnonymous Cowardで書き込んだものも特定できると思う。

          • by Anonymous Coward

            我々はBot
            中の人など存在しない!

  • by Anonymous Coward on 2019年04月21日 13時22分 (#3603071)

    iPhone4時代にFacebookアプリ入れたらかってに連絡先抜かれて以来Facebookなんぞ信用していない。
    あそこは連絡先抜き取るのを史上最大の使命としてるんでしょ。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...