パスワードなしで他人のFacebookアカウントにアクセスできる問題が発覚 33
ストーリー by headless
検索 部門より
検索 部門より
Facebookのサイト内を指定して特定のURLパターンをGoogleで検索すると、パスワードなしでFacebookアカウントにアクセス可能なリンクが表示されるという問題が発覚した。これを受けてFacebookでは、この機能を無効化する措置をとったそうだ(Matt Jones氏によるHacker Newsへのポスト、
BBC Newsの記事、
The Next Webの記事)。
Facebookからのメールには、パスワードなしで自分のアカウントに直接アクセス可能なリンクが用意されていることがある。このURLパターンを指定してGoogleで検索すると、リンク先ページが大量にヒットし、他人のアカウントにパスワードなしでアクセスできる状態だったという。ただし、パスワードなしでのアクセスが可能なのは1回のみなので、本人が先にリンクをクリックしていればパスワードなしでアクセスされることはなかったようだ。なお、FacebookではこれらのURLを検索可能な状態にしたことはないとしているが、この機能は安全な方法が確立するまで無効化するとのことだ。
Facebookからのメールには、パスワードなしで自分のアカウントに直接アクセス可能なリンクが用意されていることがある。このURLパターンを指定してGoogleで検索すると、リンク先ページが大量にヒットし、他人のアカウントにパスワードなしでアクセスできる状態だったという。ただし、パスワードなしでのアクセスが可能なのは1回のみなので、本人が先にリンクをクリックしていればパスワードなしでアクセスされることはなかったようだ。なお、FacebookではこれらのURLを検索可能な状態にしたことはないとしているが、この機能は安全な方法が確立するまで無効化するとのことだ。
国内でもありました (スコア:3, 興味深い)
某電鉄会社の運行情報その他メルマガが、メールについてくるURLから自分のプロフィールページに行ける仕様でした。
1件Googleにインデックスされていて、ある方のメアド・年代・性別が表示される状態でした。
(指摘したところ素早い対応がとられ、のちにパスワードが導入されました)
Re:国内でもありました (スコア:1)
> 1件Googleにインデックスされていて、ある方のメアド・年代・性別が表示される状態でした。
それは、たとえばその人が自分用のブックマークHTMLなどをネット上に置いている人で
さらにクロール拒否などの宣言をしていなかったから
クローラにより拾われただけでしょう。
Re:国内でもありました (スコア:1)
そういうユーザがいても大丈夫なようにサーバ側でインデックスされにくいよう設定しましょう、という話なのでは。
そもそも、なんでクローリングされてるんだ? (スコア:2, 興味深い)
GMail?、Chrome?
どこから漏れてるんだ?
Re:そもそも、なんでクローリングされてるんだ? (スコア:1)
俺Chrome使ってないからGmailの方だと思う
Re: (スコア:0)
結論から言うと、ウェブメール+ツールバー系らしいよ。Bingの検索結果にも漏れてるらしい。ただし、Chromeは何もインストールしていなくてもツールバー系に含むので、ChromeでGMailを読んだりすればアウト。
Re: (スコア:0)
> ChromeでGMailを読んだりすればアウト。
アホかw
Re:そもそも、なんでクローリングされてるんだ? (スコア:1)
一発でリダイレクトされてたなら不可能ですが。
Re: (スコア:0)
>なお、FacebookではこれらのURLを検索可能な状態にしたことはないとしているが
「検索不可能な状態にしたことはない」とは誰も言ってないよ!
Re: (スコア:0)
技術的にクロールとブラウジングに違いがあるわけないじゃん。
問題は外部からリンクされていないメールの中にしかないURLをGoogleはどこから持ってきたかってことだろ。
Re: (スコア:0)
つGmail
Re:そもそも、なんでクローリングされてるんだ? (スコア:1)
もしそうだとしたら、他にも非公開のつもりのURLがクロールされている例が山ほど見つかる予感。
Re:そもそも、なんでクローリングされてるんだ? (スコア:1, 参考になる)
Gmailから漏れてるならもっと以前からもっと大規模な問題になってるでしょうね。
さすがにいまさら
「FacbookのパスワードリセットURLだけ」Gmailから漏れてるんだという主張は無理があります。
実際のところでいえば、
FacebookがポカでクロールできてしまうところにパスワードリセットURLのリストを置いていた、
とかその程度でしょう。
Re:そもそも、なんでクローリングされてるんだ? (スコア:1)
「パスワードなしで自分のアカウントに直接アクセス可能なリンク」が、いつの間に「パスワードリセットURL」になった?
# 友達を増やそう的なアレとかじゃないん?
Re: (スコア:0)
逆にGMailがスキミングしてるのに、URLだけ収集しないと信じられるところが不思議だわ。
GMailかChromeのURL収集のどちらかで、Googleが機械任せで公開していい悪いの判断してなかっただけと考えるほうが自然。
#2265706みたいに"1件だけ"Googleにつかまってるとかの事例があるということは、なにか、Googleに引っかかる条件があるはず。
Re: (スコア:0, 参考になる)
> 逆にGMailがスキミングしてるのに、URLだけ収集しないと信じられるところが不思議だわ。
つまりAppleのメールサービスを使ってるMacユーザやiOSユーザはメールを全部スキミングされて収集されているんだということですね。
> GMailかChromeのURL収集のどちらかで、
> Googleが機械任せで公開していい悪いの判断してなかっただけと考えるほうが自然。
そもそも論としてあなたは処理の認識自体が間違ってます。
大手ほどプライバシーの懸念には敏感なので、
特定アカウント内部という枠を超えた情報の取り扱いでは
原文上の単語を直接扱わず、強制的に一方向ハッシュでハッシュ
Re: (スコア:0)
> 逆にGMailがスキミングしてるのに、URLだけ収集しないと信じられるところが不思議だわ。
> GMailかChromeのURL収集のどちらかで、Googleが機械任せで公開していい悪いの判断してなかっただけと考えるほうが自然。
収集はしていても、それらのルートから得たものは検索対象のデータにはしていないはず(建前上は)なので、
そのルートで検索対象のデータになっていたのだとしたらGoogle側のミスの可能性が高い。
そうでないなら、どのルートから登録されたのかを(FacebookがGoogleに対し)調査依頼すべきだと思う。
Re: (スコア:0)
あなたの意見は
「陰謀論が成立するなら、陰謀論が矛先を向けている対象が悪い」
という、歪んだ見方をさらに加速させようとする意見になってしまっていますよ。
Re: (スコア:0)
こういうことか。
http://www.youtube.com/watch?v=TDbrX5U75dk [youtube.com]
Re: (スコア:0)
メールで取得した「ボクと友達にならないか」リンクを、Twitterに貼ったらアウト。ってこと。
失望した (スコア:0)
誰一人、「Matt Jones氏によるHacker Newsへのポスト」を読んでいないのか...
雑談サイトの限界だな
Re: (スコア:0)
すみません、読める言語で書いてなかったもので。
# 翻訳してくれると嬉しいなあ
Re: (スコア:0)
オランダ語あたりか?と思ったら、日本では義務教育で習う言語じゃないか。
でも、長いスレッドなので、#2265866 [srad.jp]のACさんは、どこのことを言ってるのか示してくれるとありがたい。
それにしても、fbの技術者はど素人なのか? [we] "never make them publicly available." じゃないだろ。URLに秘密情報入れんな。
怖い (スコア:2)
先日Facebookを始めた者にとっては、怖い話でした。でも、友達がいるからやめられない。
Re: (スコア:0)
周りに流されず止める勇気。
Re:怖い (スコア:1)
勇気をつけると何でもカッコよく聞こえてしまう日本語の不思議ですか?「偽物語」ですよね。
Re: (スコア:0)
友達がいる人は大変ですね・・・orz
安全な方法なんてあるのか (スコア:0)
Webメールの場合メール本文が暗号化されていないことがあるわけだし,
メールは特定個人のみが読めるわけではないですよね
Re: (スコア:0)
メールなんて旧世代のプロトコルは窓から投げ捨ててFacebookで連絡しなさいとか
Re: (スコア:0)
文面暗号化だけでいい(身元保障はしない)ために、Gmail他の主要プロバイダは自動でS/MIME証明書発行してほしいなぁ...
次は (スコア:0)
電柱にQRコードでも張って誘導する詐欺が発生しそうだな。もうあるのかな?spamサイトへ誘因するようなやつじゃなくて、振り込めみたいなタイプね。
アップルならバキッと言う (スコア:0)
COOLだろ?
背筋が。