10周年のSPコンテンツ!
181
@re4k
「全国電話帳」というAndroidアプリ、すごく危険。このアプリ、起動時に、電話帳の全てのデータ(メールアドレス・住所・名前を含む)を「住所でポン!」のサーバーに送信してる。位置情報も送信されているかも。送信されたデータは誰でも検索できるようになってる。
@re4k
なんか、サーバーに送信されちゃった電話帳の中身の件数、無効なのも含めて70万あるっぽいです
@re4k
Androidのアプリはこのwork_androidのほうに電話帳を一つずつinsertしてる http://t.co/1iz4SRGT
拡大
そらりす@メモリ64GBは最低限文化的 @djed736
住所でポンのサーバに「全国電話帳」経由で抜いたデータがずらっと並んでる件 これはあかんやろ ただの電話帳データという言い訳は通用せんよ http://t.co/D2kLBeSo
拡大
リンク luminのコードメモ 確信的!個人情報漏洩! スマホ個人情報漏洩 ありえない!直接データベースに接続 また起きました、the Movie系以来の大量の確信..

”問題はこのアプリで、利用者の電話帳の情報(連絡先情報)を送信して公開されていることだ。現在、漏洩してされてさらされている個人情報は約76万件。アプリの利用者でなく、利用者の友人や取引先といった情報が漏れているのだ。実行したユーザーの数もカウント可能である。
実行されたのは3387台(10/6 10:38)”

アプリ製作者の言い分
九七式中戦車 @type97_chiha
@tottoriloop http://t.co/S5BnVXLS http://t.co/DT30duuc 住所でポンのデータが、元は販売されてた電話帳データ(?)であったという所からすると、利用者の電話帳情報を鯖送信する利益がないので考えにくい動作ですがどうなんですか?
鳥取ループ@示現舎 @tottoriloop
@type97_chiha 実験的に送信してみているのですが、住所でポンで検索できる状態ではないです。
九七式中戦車 @type97_chiha
@tottoriloop 実験の目的は何でしょうか。純技術? 携帯の番号を含めた電話帳非掲載の取得と今後の公開でしょうか?
鳥取ループ@示現舎 @tottoriloop
@type97_chiha 以前、ダダ漏れアプリが問題になっていましたが、報道通り、そんなにデータが集まるものなのかと思いまして。説明書きに電話帳GPSを利用すると断ってやっています。

”過去のハローページとタウンページに掲載された約3800万件の情報をもとにデータベースを作成しています。加えて、アプリ利用者のアドレス帳、GPSの情報も利用します。

yam@o (当時は現人神) 고양이입니다 @sophizm
アプリの説明で「アプリ利用者のアドレス帳、GPSの情報も利用します」と書いてあったり、電話帳やGPSへのパーミッションが明示されているとしても、当該収集した個人情報を公開することへの同意はどこにもないはずなのだが。収集の同意が公開の同意とするのは、鳥取ループ氏の主張に反しないか?
yam@o (当時は現人神) 고양이입니다 @sophizm
鳥取ループ氏は過去のツイートで「電話帳情報はハローワークからの転載で公開情報だから問題ない」「公開情報を悪徳業者が有料で販売していることへの問題提起」といった旨の主張をしていたが、アプリからの取得情報は公開情報でも悪徳業者への問題提起でもないのではないのか。
ツイートまとめ 鳥取ループ氏はなぜ他人の個人情報を晒し続けるのかについてのやり取り ~同和問題と電話帳~ 住所でポン! http://goo.gl/YIXde というサイトの開設者「鳥取ループ」氏。 85919 pv 149 42 users 22
yam@o (当時は現人神) 고양이입니다 @sophizm
曰く「どの程度のデータが集まるか実験」と言っているが、そのような実験がしたいのなら取得した個人情報を公開する必要性は全くないわけで、意味が分からない。
鳥取ループ@示現舎 @tottoriloop
@sor593 アプリの説明で電話帳GPSを使用していることを明示している一方で、どちらかと言うと人のDBに接続して勝手に意図しないSQLを実行する行為が電磁的記録不正作出及び供用にあたると思うのですが。もちろん、こんなの法律がおかしいんですけど。
@re4k
全国電話帳、アプリの詳細に、ユーザーのデータを利用するってのは書いてある。書いてあるけど、電話帳には他人の個人情報も含まれてるし、位置情報を集める意味がわからないし、それにデータの保管がずさんすぎる
その後、警察沙汰に
鳥取ループ@示現舎 @tottoriloop
全国電話帳の電話帳収集を停止しました。いたずらされてしまうので。
鳥取ループ@示現舎 @tottoriloop
スマホアプリで不正 個人情報76万件流出か 警視庁が情報収集 http://t.co/1QNNF0de
リンク www.nikkei.com スマホアプリで不正 個人情報76万件流出か :日本経済新聞 基本ソフト「アンドロイド」を搭載したスマートフォン(高機能携帯電話=スマホ)の電話帳に登録された約76万件の個人情報が専用アプリを通じて不正に抜き取られた可能性が高いことが6日、セキュリティー会社「

”基本ソフト「アンドロイド」を搭載したスマートフォン(高機能携帯電話=スマホ)の電話帳に登録された約76万件の個人情報が専用アプリを通じて不正に抜き取られた可能性が高いことが6日、セキュリティー会社「ネットエージェント」(東京)の調査で分かった。同社から通報を受けた警視庁が情報収集を進めている。”

鳥取ループ@示現舎 @tottoriloop
今の時点で、こういう報道がされるということは、ほどほどにしておけという警告なんだろうな…
残りを読む(4)

コメント

国際協調派 @kaz005 2012年10月6日
これ滅茶苦茶だな。実験で個人情報集めまくるのも、第三者が接続できるDBに個人情報を置いとくのも、それに接続しちゃう奴もでたらめすぎて話にならない。つかネタとしか思えない。これがアンドロイドアプリの現実か?
Ka-Ka @ka_ka_xyz 2012年10月6日
インストール時のアクセス許可で「精細な位置情報(GPS)」『個人情報「連絡先データの読み取り」、「連絡先データの書き込み」』と堂々と宣言(続く)
Ka-Ka @ka_ka_xyz 2012年10月6日
されているにも関わらず何の疑問も持たずにインストールして人が居る(インストール数: 5,000 - 10,000)ってのは何だかなあ。現状でPermissionの見せ方が余りに下手で、技術者以外のユーザへ(続く)
Ka-Ka @ka_ka_xyz 2012年10月6日
潜在的な危険性を説明できていない。Permissionシステム自体は現状での最適解だと思うけど、google側からエンドユーザへリスクわかりやすく説明する努力が致命的に不足していて、結果としてほぼ節穴状態(続く)。
Ka-Ka @ka_ka_xyz 2012年10月6日
インストール時に通常のPermission確認に加えて「このPermissionの組み合わせでは~~という危険性が存在します」という説明を出せば、かなり効果的だと思うけど・・・・。
yam@o (当時は現人神) 고양이입니다 @sophizm 2012年10月6日
まとめを更新しました。警察沙汰になりつつあり、またNHK7時のニュースで取り上げられるようです。
げれ@gelehrte @gelehrte 2012年10月6日
ニュースになってたのはこれか。正直ありえねぇ・・・
ニシオカキョウヘイ 秋M3 サ-40z @kyohei240k 2012年10月6日
Androidが悪いのか、このアプリ作ったひとが悪いのか、警告よく読まず使うユーザーか悪いのか。自分も警告ちゃんと読んでないからなあ。
@sbayasi 2012年10月6日
問題があるから警察沙汰にもなってるのに、問題起こした側が被害者っぽい顔してるのはなんでなんだぜ。
undo(らぶほーほけきょ) @tolucky774 2012年10月6日
まともな開発者ならありえないので、被害者ヅラすんなと。わかってやってたとしか思えない
PrimaryM_2480008 @PrimaryMonolith 2012年10月6日
「~どちらかと言うと人のDBに接続して勝手に意図しないSQLを実行する行為が電磁的記録不正作出及び供用にあたると思うのですが。もちろん、こんなの法律がおかしいんですけど。」いやいや個人情報収集したあんたが一番悪いでしょうが。何法律が~とか言っちゃってるの?
luckdragon2009(rt多) @rt_luckdragon 2012年10月6日
ちなみに、承諾して提供可能な個人情報とは「本人の個人情報」であって、友人とかは駄目ですからね。(これ、本人以外のも送信してるよね?)
luckdragon2009(rt多) @rt_luckdragon 2012年10月6日
契約書読まなかったから、という場合に、ひとまずスルー可能なのは、本人の個人情報です。 自分が保持している他人の個人情報を送信されている、という事は、
luckdragon2009(rt多) @rt_luckdragon 2012年10月6日
情報漏えいを、アプリによって、発生させられた、と解釈することが可能ですよ。(詳細が不明なので、現在分かる範囲での解釈です。)
luckdragon2009(rt多) @rt_luckdragon 2012年10月6日
法令参考:個人情報保護法( http://goo.gl/f1YL )
少☆年 @syouhosinen 2012年10月6日
ソニーのPSNの情報が流出した時、ソニーはあれこれ対策とか補償とかしたけど、この人の言い草だと流出させた奴が悪いから俺は悪くないと言っているように見えるね。 その後の発言でもそんなに反省してないように見えるのがなんとも
ゆーたむ🌸(低浮上) @DEEN_MIKU 2012年10月6日
絶対このアプリ作った人怪しい!変なアプリばっか作っとるし!
ふぁむ氏 @phantom0730 2012年10月6日
データベース扱うソフト作っておいてSQLアクセスを想定していないって何?
toresebu@1007 @toresebu 2012年10月6日
ITに携わるものとして、どうかしている以外の感想が思い浮かばない
Ichigo Mayo @15my 2012年10月6日
「DBに接続して勝手に意図しないSQLを実行する行為が電磁的記録不正作出及び供用にあたると思うのですが。」 SELECT文の実行だけでは、処理を誤らせるような不正な記録はDB上に生成されないはずですが。
ふみたけ内調 @Fumitake_A 2012年10月6日
ソフト開発者のモラリティが欠如してるとこんな恐ろしい事態が現出するといういい典型だなこりゃ。
plutob4 @plutob4 2012年10月6日
プログラムのとおりにデータを集めましたが、何か とか言わないと、駄目なレベル 
ふにゃー @fnyaa 2012年10月6日
そんなに特殊な事をやってる訳じゃなさそうだし他のアプリでもやってるだろうね。モラルを捨てれば大金が手に入る可能性があると思えば作る人も少なくないでしょ。個人で対処しても情報に疎い人が使ったら防ぎようがない現状をどうするか今後の見ものだね
ko-zu @cause_less 2012年10月6日
アプリ説明の『加えて、アプリ利用者のアドレス帳、GPSの情報も利用します。』で説明は十分で、不正指令電磁的記録供用にあたらないと考えていたのでは? アップロードしないと利用者のアドレス帳検索はできない。単純にこれ一人の問題として片づけず、分かりにくい規約一般が問題視される流れになればいいけど。
Inetgate Writer @Inetgate 2012年10月6日
件の問題起こした人が素人レベルのスキルしか持ってないことがよくわかった。第三者が外部からインターネット経由で認証無しでDBアクセス可なんて、それ、どこの Hoeypot だよ。
kabayakiya1999 @kabayakiya1999 2012年10月6日
NHKでは維新の会より先にこっちのほうを話題にした、相当怖いだろ…
kabayakiya1999 @kabayakiya1999 2012年10月6日
NHKニュースで開発者インタビューによると流出については知らぬ存ぜぬ…ダメだこいつ…
zzzLP @zzzLP 2012年10月6日
全国電話帳の作者は鳥取ループさんだったんですね。鳥取ループさんはこんな人→http://tottoriloop.miya.be/%E9%B3%A5%E5%8F%96%E3%83%AB%E3%83%BC%E3%83%97%E3%81%A8%E3%81%AF%EF%BC%9F/ こいつに個人情報つかまれたくはないな。
zzzLP @zzzLP 2012年10月6日
全国電話帳の作者は鳥取ループさんだったんですね。鳥取ループさんはこんな人→http://j.mp/OJEqh6 こいつに個人情報つかまれたくはないな。
くまこ @kumacot 2012年10月6日
あーあ鳥取ループさんやっちまったなという感想は免れないけど、僕は氏の同和批判におけるポジションは一定評価してます。それはそれ、その部分は分けて批判してほしいなと思います。たぶん今回の失敗で、ひととしての氏をぶっつぶそうという姿勢の方も現れるとは思うけど。。
和泉 @IZUMI162i6 2012年10月7日
誰でもアクセス出来るWeb上に大公開してましたけど、直接アクセスされるとは思ってませんでした。(キリッ
三毛猫 @soraumimaotimaj 2012年10月7日
2ちゃんねるまとめサイト特有のレイシスト感 で し た → http://togetter.com/li/382343 ← キモい。
FRKW808 @annex38 2012年10月7日
「実験」はクローズド環境でやってくださいね
Jean-Luc Picachu @JeanLuc_Picachu 2012年10月7日
呆れて開いた口がふさがらん。
鴉丸@馬関人 時々 雨天無能 @karasumaru0307 2012年10月7日
公開で実験して、しかもそれが誰でも閲覧利用が可能って、それ実験って言わない。この集められた個人データはどう後始末するの?。利用されてしまった方々への説明責任は「無い」のスタンスで貫き通すの?。最低。
luckdragon2009(rt多) @rt_luckdragon 2012年10月7日
個人情報保護法、または、各種法律の遵守慣習では、集められた個人情報は適切に管理され、保護される必要があります。これはアプリ開発者のアプリ提供契約とは別です。
luckdragon2009(rt多) @rt_luckdragon 2012年10月7日
警察の捜査事案になったのかな? なので、この事案には法務関係者に任せますが。 一般に、類似のことをしたら、違法事案になる、というのが通説でしょう。
luckdragon2009(rt多) @rt_luckdragon 2012年10月7日
「実験」は、捜査対抗言説にはなりません。 適法な事例を構成する、という事実を証明する必要がある。 罪刑法定主義の定義にならない、という異議が出せれば対抗できるけど。
少☆年 @syouhosinen 2012年10月7日
この人過去のツイートを辿って検索かけたりすると、とあるIT企業の最高技術責任者に辿り着くんだが、プライベートでやっていることなので会社は関係ないと断言しちゃったよ。 プライベートでこんな事態引き起こした人が最高技術責任者として存在している会社の全体のセキュリティが疑われる可能性が無いと思っちゃってるよ
quajzn @quajzn 2012年10月7日
個人情報保護法違反は、国家的組織による代理民事裁判が必要だろうな。再発防止・被害者救済を考えると、開発者のモラル、利用者の注意不足だけで終わらせてはならないと思う。
ざの人 @zairo21 2012年10月7日
開発者が決定的勘違いというか意図的に隠しているのは、NTTの一般電話帳は契約時に「電話帳に情報を掲載することを同意する しない」という選択があり、電話の使用者に電話帳掲載の拒否ができる事が必ず明記される点にある。その点を表に出さないで勝手に語っている様は「詭弁か詐欺(嘘)」と一言で済まされる内容でしか無いのは明白。
ざの人 @zairo21 2012年10月7日
この問題の人物について、個人情報とは 「本人がその情報で特定される最小限の情報」 電話番号は当然それで、企業に席をおいてのその業務において知り得た情報は、個人情報保護法に基づいて判断され罰せられる。 ってことを何時間かけても拷問レベルで教えなきゃいけない存在なんだろうな(苦笑い)
狐謡 @Towa_towa_to 2012年10月7日
こうやって自分の番号が、知り合いの電話帳から漏れるかもしらんってのは、あんまゾッとしない話だあね。@tottoriloop さん、アプリの説明文に書いたと言ってるが、吸い上げられる個人情報は同意者本人のものだけなんじゃろかね?
吉永和也(関西非モテ同しっと派) @kazyayoshinaga 2012年10月7日
鳥取ループさん、あんたがやっていることは不正アクセスという立派な犯罪だ!!
たちがみ @tachigamiSama 2012年10月7日
ごめんですんだら警察はいらないという実例か まあわかってやってるからなおさら質悪いけど
くまこ @kumacot 2012年10月8日
ところで、「承諾」のもとに電話帳のデータをぶっこ抜くというのは、FacebookやLINEのアプリもやってることですよね?(勘違いだったら教えて下さい)そういう技術的可能性と、モラルとしての可否は分けて論じないとだめでしょうね。
くまこ @kumacot 2012年10月8日
電話帳データをぶっこ抜かれる技術的可能性を拒絶したいとなると、脱Android、脱gmail、脱Googleしないとという話になるんじゃないかなあ。。
くまこ @kumacot 2012年10月8日
アンドロイドアプリの作り方は詳しくないけど、こういう仕組みは別にハッカークラッカー的な巧妙なプログラムを組むまでもなく、アンドロイドの場合プログラマに提供されたAPIやライブラリを叩けば比較的容易に作れると思ってるんだけど、これも間違ってたら教えて下さい。
愚民Artane.🦀@左派ポピュリズムの復権を!! @Artanejp 2012年10月8日
同和批判(と言うか罵倒)してたと言う事で、Androidから住所と名前と電話番号を収集→人物特定して「おまえ部落だろう」と攻撃する と言うコンボを狙ってる気がする…
愚民Artane.🦀@左派ポピュリズムの復権を!! @Artanejp 2012年10月8日
被差別部落がどこにあるのか、情報開示請求制度を使って収集してた時点で、まともとは思えない。で、電話帳とリンク。
愚民Artane.🦀@左派ポピュリズムの復権を!! @Artanejp 2012年10月8日
電話帳のデータベースを(ミスの振りして)公開することで、多くのクローンができて自分が潰されても部落や朝鮮人攻撃はほかの人がやれる→ヒャッハー てな感じ?
愚民Artane.🦀@左派ポピュリズムの復権を!! @Artanejp 2012年10月8日
FYI> http://japanwest.v-kei.net/Entry/5/ 鳥取ループ氏は、攻撃対象の家を特定してGoogleマップに紐付けして公開してるらしい
くまこ @kumacot 2012年10月8日
いや、鳥取ループさんは、部落差別自体がもはやナンセンスで、どこが部落(だった)かは逆に差別を温存するためにレッテル符丁として関係者内に閉じた情報にされてると考えてるゆえに公開を図ってると理解してますが。
くまこ @kumacot 2012年10月8日
僕の理解では、憶測と決めつけでの糾弾は、それそのものを差別と呼びます。
u1ρ ☁ @u1p 2012年10月8日
これはまた新しいタイプの人だなぁ…。
sitimi @sitimito 2012年10月9日
意図しないSQLってなんだ…。どうしろと。
cinefuk 🌀 @cinefuk 2012年10月9日
元々「許可さえあればアプリが電話帳全データにアクセス出来て、それをインターネットで送信できる」Androidのシステム自体がセキュリティホールにも思える。LINE問題にも共通する話。
マルンボーリ @tandaji 2012年10月10日
LINEですら結構なリスクがあるってのに、これは輪をかけて酷いな…。
ログインして広告を非表示にする
ログインして広告を非表示にする