ねえ、Instagramが「システムは安全です(ドヤ)」とか言ってるのを真に受けて安心しちゃってる?それ、マジでリテラシーが「お花畑」すぎるから今すぐ目を覚ましたほうがいいよ。
結論:Instagramが守っているのは、あなたのプライバシーじゃなくて「自分の株価」でしょ。
Malwarebytesが暴いた1750万人分のデータ流出。それに対してMetaが放った「侵害は確認されてない」っていう釈明。これ、エンジニア的に翻訳すると「ウチのサーバーが直接ハッキングされたわけじゃないから、ユーザーが勝手に外で漏らしたデータで攻撃されてもウチのせいじゃなーいw」っていう責任逃れにしか聞こえないんだよね。マジで白ける。
背景:ダークウェブで売られる「私たちの切り売り」と、Metaの苦しい言い訳
実際にダークウェブで販売されているデータの内訳、見たことある?数字で見ると絶望しかないから。
- ID:約1701万件(ほぼ全員分)
- ユーザー名:約1655万件(特定余裕)
- メールアドレス:約623万件(迷惑メール確定)
- 電話番号:約349万件(詐欺電話のリスト入り)
- 住所:約133万件(リアルの安全すら危うい)
Instagramは「パスワードリセットメールの問題は修正した」なんて言ってるけど、そもそもなんで大量のリセットメールが届きまくってたのかって話。それは、攻撃者がどこかで手に入れたリストを使って、あなたのドアをガチャガチャ叩きまくってた証拠。それを「侵害されてない」で片付けるのは、あまりにもユーザーをナメすぎじゃない?
考察:2019年の亡霊に憑りつかれたまま、思考停止で生きる私たち
「Have I Been Pwned?」の管理人、Troy Hunt氏の検証によれば、流出データの一部は2019年の流出情報の使い回しだった。
これを聞いて「なんだ、古いデータかw」って思った人、それ一番ヤバいから。Shahak Shalev氏が指摘するように、これは「過去の流出データ」を煮凝りみたいに集めた Frankenstein Data(フランケンシュタイン・データ)。でも、その古いデータを使って今この瞬間に「パスワードリセット攻撃」が成立しちゃうってことは、あなたが2019年からパスワードを変えずに放置してきた「怠慢」が、今になって牙を剥いてるってことなんだよ。
私たちが取るべき生存戦略は、企業の「安全宣言」を疑うことから始まる。
- 「侵害なし」は「安全」の証明ではない。企業は自分たちが法的に刺されないための言葉を選んでるだけ。
- 過去の自分を殺せ。2019年から使い回してるパスワードがあるなら、あなたはもう既にダークウェブの住人。
- 多要素認証(MFA)をしないのは、鍵をかけずに外出するのと同じ。設定してないとか、令和の時代にありえないから。
結局、プラットフォームにとって私たちは「広告を表示するためのデータ」でしかない。自分の身を本気で守れるのは、Metaの広報担当じゃなくて、あなたの冷徹なセキュリティ意識だけなんだよね。
