ビジネス向けSNSとして日本でもユーザーを伸ばしているLinkedIn(リンクトイン)が揺れています。ハッキングによって約650万件のパスワードが流出、さらにiOSアプリでユーザーの同意なくデータを集めていた事実が明らかになったとのこと。
まずパスワード流出ですが、第一報を報じたのはノルウェーのウェブサイト、Dagens IT。残念ながらノルウェー語は分かりませんが、Google Translateで翻訳したリンクを掲載しておきます:
■ Change passwords on LinkedIn, Now! (Dagens IT)
Two days ago a package on the 6.5 million encrypted passwords posted on a Russian hacker site. Those who posted it wanted help to crack the codes, which is common in such environments, says password expert and consultant in Evry, Per Thorsheim.
2日前、ロシアのハッカーサイトに暗号化されたパスワード650万件が掲載された。掲載したユーザーは暗号解除の支援を呼びかけているが、これはよく見られる行為だとPer Thorsheim氏(パスワードの専門家でEvry社のコンサルタント)は述べる。
とのこと。既に30万件が解読されたと見られており、注目を集めるに従って、さらに解読が進む恐れがあります。LinkedInはこの報道に対して、当初調査中と述べていましたが、掲載されているアカウントの一部がLinkedInのものであると確認されたと発表しています:
■ An Update on LinkedIn Member Passwords Compromised (LinkedIn Blog)
We want to provide you with an update on this morning’s reports of stolen passwords. We can confirm that some of the passwords that were compromised correspond to LinkedIn accounts.
パスワードが盗まれたという今朝の報道に関する続報です。流出したパスワードの一部がLinkedInのアカウントのものであることを確認しました。
LinkedInではさらに調査を続けるとした上で、念のためパスワードの変更を呼びかけています。ちなみに2012年3月のプレスリリースでは、LinkedInのユーザー数は1.6億人と公式発表されており、約4%分のパスワードが流出したことになります。流出経路や流出した情報量などの把握はこれからになりますが、他のユーザー情報も流出している可能性があるのでは?と指摘する声もあり、LinkedInにアカウントを持っている方は念のためご対応を。
そしてデータの不正収集問題。こちらの方がタイミングとしては先だったのですが、米CNETで以下のように報じられています:
■ LinkedIn's app transmits user data without their knowledge (CNET)
LinkedIn's iOS app is collecting information from calendar entries, including passwords and meeting notes, and transmitting it back to the company's servers without their knowledge, according two mobile security researchers.
The business-networking giant's app for Apple's iPad and iPhone has an opt-in feature that allows users to view their calendar entries within the app. However, researchers Yair Amit and Adi Sharabani discovered that once enabled by the user, the app automatically transmits users' calendar entries back to LinkedIn servers.
リンクトインのiOS向けアプリが、カレンダーに登録された情報(パスワードや予定の内容などを含む)を収取、ユーザーの同意なしに同社のサーバーに送っていたことをモバイルセキュリティの研究者が明らかにした。
ビジネス向けネットワークサイトの大手であるリンクトイン社のiPhone/iPadアプリには、アプリ内でカレンダーに登録された情報を閲覧する機能がオプトイン形式で設けられている。しかし研究者のYair Amit氏とAdi Sharabani氏は、いったんユーザーがこの機能を有効化すると、アプリは自動的にカレンダーの登録内容をリンクトインのサーバーに送信することを発見した。
とのこと。この件についてもLinkedInはブログでコメントを発表しており、データを送信していたことを認めた上で、カレンダー機能がオプトイン型で提供されていること、データ送信がSSLを通じて行われていること、さらに取得したデータの共有も保存もしていないことを説明。その上でミーティング内容に関するデータの取得を停止することなどの対応を発表しています。
つまりアプリが提供するカレンダー機能(iOSのカレンダーを参照する)を有効にする際にはユーザーの同意を得るステップが入っていたものの、その後にデータをLinkedInのサーバーに送信するというプロセスが明示されないままで行われていたと。これだけだと「不注意だった」で済まされるかもしれませんが、先ほどの記事で研究者のAmit氏は「最大の問題は、データ送信がアプリを機能させるためには一切必要がないという点だ」と指摘しており、データ収集の意図について疑問が提示される可能性を残しています。
これで思い出されるのが、最近起きたPathとミログの一件です:
■ ソーシャルサービスPathがユーザーに無断で連絡先データを収集 (ITmediaニュース)
クローズドなソーシャルサービスとして米国で人気のPathが、iPhone内の連絡先データをユーザーに無断で自社のサーバにアップロードしている――。シンガポール在住のiOS開発者、アルン・サンピー氏が2月8日(現地時間)、自身のブログで独自の調査結果を発表し、Pathもそれを認めた。
■ スパイアプリ疑惑で批判のミログ、すべての個人情報を削除し解散・清算へ (ねとらぼ)
ミログでは「FriendApp」および「app.tv」によりユーザーの端末情報を取得し、これをデータコンサルティングやターゲティング広告に用いていたが、この行為が「スパイアプリだ」「無断でユーザーの個人情報を収集している」などと指摘された。現在は指摘を受け、内部調査や事業内容の見直しをはかっていた最中だったが、「事業環境を総合的に判断した結果」、解散・清算を決断するに至ったという。なお同社が持っていた個人情報については、プライバシーポリシーに基づきすべて削除される。
ミログの一件は最終的に会社の清算にまで至っているわけですが、ここまでの騒動に発展したことを疑問視する声もあります。しかしそれだけ個人情報はセンシティブな存在であり、取り扱いを誤れば消費者から猛反発をくらうものであると言えるでしょう。その意味で、大手SNSであるLinkedInですら軽率な行動を取ってしまったことは驚きであり、逆に個人情報を含むデータ収集がいかに企業にとって魅力的な行為であるかを象徴していると言えるかもしれません。
ということで、ハッキングは予期せぬ事件だったとはいえ、LinkedInが直面した2つのスキャンダル。LinkedInの今後の成長にも影響するだけに、どんな展開を見せるかが注目されます。
[完全理解]LinkedIn リンクトインがわかる本 江藤 美帆 インプレスジャパン 2012-01-20 売り上げランキング : 98846 Amazonで詳しく見る by G-Tools |
コメント