Flickrによると、サードパーティのメールベンダーの欠陥により、ユーザー名、メールアドレス、IPデータ、アクティビティログが露出した可能性がある一方で、パスワードと支払い情報は安全に保たれたという。
サードパーティのメールサービスプロバイダーにおけるセキュリティ上の欠陥により、Flickr メンバーの個人情報が露出した可能性がある。2026年2月5日、この人気の写真共有プラットフォームは、外部ベンダーの一社が管理するシステム内の脆弱性について通知を受けた。この抜け穴により、権限のない人物が特定のメンバーデータを閲覧できた可能性がある。
現在SmugMugが運営するFlickrは、問題に迅速に対応し、発見から数時間以内に侵害されたシステムへのアクセスを無効化した。参考までに、このインシデントは、ニュースレタープラットフォームに関する最近のセキュリティ報告(Substackに関するもの)と似たパターンをたどっている。Hackread.comの報道によれば、「w1kkid」という別名を使うハッカーが2026年2月2日、Substackから66万2,000件超のユーザーレコードを抽出したと主張し、この侵害について同社CEOが確認したのは数日後だった。
データ露出の詳細
いかなるセキュリティ侵害も懸念すべきものだが、Flickrのケースでは、パスワードと金融情報は完全に安全に保たれていたと報告されている。この脆弱性により、暗号化されたログイン認証情報や決済カード番号へのアクセスは許されなかった。リスクにさらされた可能性のあるデータは以下のとおり:
- 実名および登録メールアドレス
- プラットフォーム上でのユーザー活動のログ
- IPアドレスおよび大まかな地理的位置
- Flickrのユーザー名およびアカウント種別(ProやFreeなど)
Flickrは写真の世界における主要プレイヤーで、月間3,500万人のユーザーのために280億枚超の画像をホストしている。ただし、このベンダー関連の問題によって影響を受けたアカウントの正確な数について、同社はまだ明らかにしていない点は注目に値する。
同社の対応
公式のセキュリティ通知において、Flickrは関連するデータ保護当局へすでに通知したことを確認 した。今後の問題を防ぐため、現在「システムアーキテクチャを強化」し、すべての外部パートナーに対する監督を強めているという。
「このインシデントおよびそれによって生じ得るご心配について、心よりお詫び申し上げます。私たちは皆さまのデータのプライバシーとセキュリティを極めて重く受け止めており、徹底的な調査を実施し、システムアーキテクチャを強化し、サードパーティのサービスプロバイダーに対する監視をさらに強化することで、同様の問題を防ぐための即時の措置を講じています」とFlickrは結論づけた。
Flickrが推奨する対応
周知のとおり、データ漏えいはフィッシングキャンペーンの材料として頻繁に悪用される。安全を保つため、同社はFlickrアカウントに言及する予期しないメールには注意するよう推奨し、次のように明言している:
「私たちはメールでパスワードを尋ねることは決してありません。」
また、Flickrで他のウェブサイトと同じパスワードを使用している場合は、念のため直ちに変更するのが賢明だ。最後に、アカウントにログインして設定を確認し、プロフィールに不審な変更がないか見直してほしい。
翻訳元: https://hackread.com/flickr-data-breach-external-partner-security-flaw/
