ニュース
blippy

クレジットカード番号が検索で露呈したBlippy–大した事件じゃないと説得に躍起

次の記事

"Like"ボタンは悪か?Open Web派がFacebookのあまりOpenでないOpen Graphを批判

今朝(米国時間4/23)VentureBeatが、Blippyの重大なプライバシー保護怠慢により、ユーザのクレジットカード情報が検索エンジンで露呈された、という事件を詳しく報じた。それほど大量の情報が漏れたわけではない…Blippyはクレジットカードを人目にさらしてしまったのはわずか4人のユーザだと言っている…が、こういう事件が起きたことは人の気持ちを不安にする。基本的にBlippyのサービスは、ユーザがサイトを信頼して自分のクレジットカード情報(ときにはオンラインサービスの自己証明情報も)を共有することで成り立っている。だからBlippyにとってそのデータのセキュリティは絶対的に重要だ。

公式声明で同社は、それほど悪質な事件ではなく、現在のユーザには起こりえない、と言い、被害者は4人の初期のベータユーザで、とくにトランザクション情報(買い物情報)にユーザのクレジットカード番号が”生データ(Raw Data)”として含まれているものだった、と説明している。

これが、Blippyの公式声明だ:

本日、Googleの検索で4人のBlippyユーザのクレジットカード番号が表示されたことが判明しました。

弊社はセキュリティに真剣に取り組んでおり、Blippyユーザのみなさまに、今回の事件が何か月も前の弊社のベータテストに由来する、一回限りのできごとであることを確言いたします。すなわちそれは、現在のユーザには起こりえません。

一見おそろしい事件であり、被害に遭われた方にとっては腹立たしく、弊社もたいへん申し訳なく存じておりますが、実際には見かけほど悪質な事件ではありません。

詳しく説明申し上げましょう:

  • Quiznosでお昼のお弁当を買ったとしましょう。するとクレジットカードにはこんな複雑な情報が載ります: “Quiznos Inc Store #1234 San Francisco”。しかしBlippyはこれを、”Quiznos”だけに短縮します。この違いのことを、”生データ”と”整理済みデータ”の違いと弊社では呼んでいます。
  • 生データもふつうは無害ですが、しかし一部のクレジットカード(今回の例では数千のうちの4つ)では生データにクレジットカード番号があることが分かりました。それはたとえば、こんなデータです: “Quiznos Inc Store #1234 from card 4444….”。
  • Blippyを最初に構築中だった何か月も前には、一部の生データ(整理されていないがふつうは無害)を、BlippyのWebページのHTMLソース中に見ることができました。平均的なユーザは気がつかないと思いますが、何か魂胆のある人は、”raw”という行があることに気づくでしょう。でもその行も、ほとんどの場合無害です…店の番号などですから。そしてその行は当時すべて、迅速に削除しました。
  • しかし、Googleにはキャッシュがあります。GoogleはこのHTMLの一部をインデクシングしましたが、それはBlippyのWebサイトではもう見れないページでした。そして4つのクレジットカード番号が露呈されました(196もの検索結果に載るというおそろしい事態でした)。
  • 弊社はGoogleに申し入れて、古いBlippyのページをキャッシュから削除してもらうことにしました。削除は2時間ぐらいで終わるそうです。

弊社は今回の事件を真剣に受け止め、関係者にご迷惑をおかけしたことを深くお詫びいたします。しかし、誰かが自分のクレジットカードを勝手に使った場合、そのぶんは支払う必要がありません。だからこそ私たちは日常、クレジットカードを店員やウェイターの方に平気で手渡すのです。彼らに手渡すのですから、すでに何百人もの他人が、あなたのクレジットカードの番号を知ろうと思えば知っているのです。

弊社はセキュリティをなお一層強化し、このようなことが二度と起きないようにすることを確約申し上げます。セキュリティの監査をサードパーティに依頼し、新機能の導入にはこれまで以上に細心に臨むようにいたします。今後は小規模で短期間のベータテストも、通常のセキュリティ基準で行うことをお約束いたします。

お読みいただいたことを、感謝申し上げます。

Blippyはこれまでもずっと、論争の嵐にもまれてきた。なんといっても、プライバシーに属する情報を扱うからだ。今回の事件は反対論者たちを元気づけ、現在の一部のユーザを不安にさせるだけだろう。それは、Blippyが$11.2M(1120万ドル)の資金調達を完了した直後に起きた。

[原文へ]
[米TechCrunch最新記事サムネイル集]

(翻訳:iwatani(a.k.a. hiwa))