フォトメッセージングサービスの米Snapchatは現地時間2014年1月9日、AndroidおよびiOS向けアプリケーションのアップデートを発表した。同アップデートにより、データ流出の原因となった「Find Friends」機能の問題を改善する。
Find Friends機能は、電話番号から友達を見つけられる機能。アップデートにより、電話番号とユーザー名のひも付けを無効に切り替えられる。新規ユーザーが同機能を使用する際には電話番号の確認が必要になる。
Find Friends機能については、昨年8月にあるセキュリティグループが脆弱性を確認し、報告していた。同グループは同機能の悪用を可能にするAPI情報を12月24日に公開。これを受け、Snapchatは「大容量の電話番号をアップロードすれば、攻撃者が同機能を利用することは理論上は可能だ」と認める発言をブログに投稿した。すると、ある攻撃者がSnapchatからユーザー名と電話番号を盗み出し、12月31日にオンライン上で公開した。Snapchatは1月2日に、Find Friends機能をオプトアウトできるようにするアップデートをリリースすると予告した(過去のブログ投稿記事)。
米メディアの報道(Wall Street Journal)によると、流出したデータは460万件にのぼった。Snapchatは昨年8月に報告を受けた直後に、検索頻度を制限するなどして対策を講じたとしているが、長期間にわたって脆弱性を修正せずに放置していたと批判されている。また、真摯な謝罪がなかったことにも非難の声が上がっていた。
Snapchatはアップデートのリリースに際して「引き続きサービスの強化を図り、APIを悪用しようとする将来的な試みの防止に努める。今回の問題によってユーザーが被ったすべての問題に対して申し訳なく思うとともに、ユーザーの忍耐と支援に心から感謝する」と述べている。
[発表資料へ]
