多くのiOSユーザーにとって、またしても楽園に問題が起こりました。今年初め、iOSアプリ「Path」がユーザーのアドレス帳を安全でない方法で許可なくアップロードしていたことが判明した事件に続き、LinkedInのiOSアプリも同様の個人データ漏洩を起こしていたことが判明しました。
The Verge は懸念すべき調査結果を報告している。
Skycure Securityの研究者らは、LinkedInのiOSアプリがユーザーのカレンダーデータを収集し、ソーシャルネットワークのサーバーに送信していることを発見しました。The Next Webの報道によると、同社のiPhoneおよびiPad向けアプリはユーザーの許可なくこれらのデータを収集・配布していましたが、これはユーザーがLinkedInのカレンダー同期機能にオプトインした場合にのみ発生していました。
これに対する私の最初の反応は、「オプトイン機能でカレンダーがアップロードされるなんて、どうでもいいじゃないか。あなたはオプトインしたんだから!」でした。しかし、実際には、問題はもっと根深いのです。多くのユーザーは、自分の情報がLinkedInのプライベートサーバーに保存されていることに気づいていません。しかも、その情報にはカレンダーの予定だけでなく、名前やメールアドレスも含まれることが多いのです。さらに悪いことに、データは安全でない方法でプレーンテキストでアップロードされているため、ハッカーにとって格好の標的となっています。
残念ながら、事態はさらに悪化します。ユーザーデータに大きな標的を定めるとどうなるでしょうか?もちろん、誰かがそれを悪用します。そして、まさにそれが起こりました。TheNextWebが詳細を報じています。
Mashableの報道によると、ロシア人ハッカーがLinkedInからデータを盗み出し、証拠として同サイトから650万件のパスワードをアップロードしたと主張している。パスワードはユーザー名と紐付けられていないが、フィンランドのセキュリティ企業Cert-Fiは、ハッカーがユーザー名にもアクセスできる可能性が高いと述べている。
LinkedInの目の前で650万件のパスワードが盗まれました。LinkedInは、パスワードはプレーンテキストで送信されているものの、SSL接続で保護されていると主張しています。しかし残念ながら、それだけでは不十分だったようです。LinkedInはパスワード漏洩の可能性について調査中です。
言うまでもなく、これは良くないことです。LinkedInのiOSアプリをご利用の方は、パスワードだけでなく、LinkedInと同じパスワードを使用している他のログイン情報も直ちに変更することをお勧めします。また、LinkedInの設定アイコンをタップし、「カレンダーを追加」をタップしてトグルをオフにすることで、カレンダーデータのアップロードを無効にすることもできます。
この事件に関する重要な最新情報は、入手次第お知らせいたします。
更新: LinkedIn は、ユーザー アカウントが今朝実際に侵害されたことを確認する声明を発表しました。
侵害されたパスワードの一部はLinkedInアカウントに該当することが確認されました。この状況については引き続き調査を進めており、侵害されたアカウントに関する今後の対応については以下の通りです。
