老舗の画像共有サイトFlickrがデータ侵害を受けたことが、The Registerが確認した顧客向けメールで明らかになった。
顧客向けメールによると、ハッキングは2月5日に発生し、同社は「事案を把握してから数時間以内に影響を受けたシステムへのアクセスを遮断した」と述べた。
このセキュリティ問題はサードパーティのメールサービスプロバイダーに起因するもので、その事業者名は明らかにされていない。
メールの中でFlickrは、メールプロバイダーに通知して本件の調査を要求する前に、影響を受けたシステムへのアクセスを無効化し、脆弱なエンドポイントへのリンクをすべて削除したと述べた。
「当社は徹底的な見直しを行い、サードパーティプロバイダーとのセキュリティ対策を強化しています」とFlickrのメールには記されている。「関係するデータ保護当局にも通知しました」
そして最も重要な「どのデータが持ち出されたのか」という問いについては、いつもの個人を特定できる情報(PII)に加え、いくつか想定外の識別情報も含まれる。
顧客向けメッセージによると、氏名、メールアドレス、ユーザー名、アカウント種別、IPアドレスとおおまかな所在地、そしてFlickr上での活動が、ハッカーによりアクセスされた可能性があるという。どのデータが露出したかは、いつもどおり各アカウントによって異なる。全員が同じではない。
The Registerは、影響を受けたユーザー数など、さらなる情報についてSmugMug傘下の同社に問い合わせた。
Flickrがメール内で欧州および米国のデータ保護当局双方へのリンクを含めていたことから、影響が複数地域に及んだ可能性がある。Flickrは190カ国で運営されている。
アクティブユーザー数については、Flickrの広告部門によれば、月間3,500万人がサイトに投稿しており、8億ページビューを生み出しているという。このうち約22万8,000人が欧州にいたことが、デジタルサービス法に関する公開資料で確認されている。
同社のメールは、アカウントに言及するフィッシングメールに注意するようユーザーに警告し、本物のFlickrがメールでパスワードなどを求めることは決してないと念を押した。
また、予期しない点がないかアカウント設定を見直すこと、さらにFlickrと他のサービスで同じパスワードを使っている場合は変更を検討するよう提案した。
ただし、Flickrのメールによれば、パスワードや金融情報は影響を受けていないという。
「この事案およびそれによって生じ得るご懸念について、心よりお詫び申し上げます」と同社はメールで述べた。
「当社はお客様のデータのプライバシーとセキュリティを極めて重要視しており、徹底的な調査の実施、システムアーキテクチャの強化、サードパーティサービスプロバイダーの監視のさらなる強化を通じて、同様の問題を防止するための即時対応を行っています。」®
