タグ: privacy

カテゴリー
プライバシー

GitHub Copilot で TODO(@ を打つと誰かのToDoが表示される、かもしれない

コメント中に後でやるべき課題を ToDo の形で残す、多くのプログラマがやっている習慣かと思います。

twitter で報告されたのは、GitHub のコーディング提案機能 Copilot をオンにして TODO(@ナントカ と他ユーザーを指定したコメントを書き始めると、ユーザー名とToDoの内容が提案されるというもの。

twitter.com/aeolianeth/status/1579980661464895490

どこかの誰かのToDo がユーザー名と結びついて他のプログラマから見えたとしたら…?

そこまでたいへんなことではないかもしれません。ToDo に書いたことにそこまで機密性の高いものはないかもしれませんし。そもそもオープンにされているソースコードから収集したものでしょうし。

Hacker News の議論では、「ここに出てきたユーザー名の公開リポジトリを見てみたけれど提案されたような ToDo は見当たらなかった」と言ってる人もいます。

ろくに中身が無かったり、privateリポジトリばかりだったり、存在しないユーザー名もあったようなので、「ユーザー名の提案はランダムに生成したものが出ているだけで実際のユーザー名とは偶然衝突しているだけなのでは」、とか、「万一コメントの中に API key などがあっても、それは GitHub 全体の仕組みとして警告される(ので提案されるデータには入っていないだろう)」といった意見も出ています。

提案されているのはどこかの誰かのToDoコメントではあるのでしょうけれど、それが提案されたユーザー名とは関係ないらしい、というあたりでしょう。

学習元のデータもオープンである限りは問題ないのかな。この件は実際に問題がありそうな提案例が報告されるかどうかの続報待ちでしょうね。

via Hacker News

カテゴリー
調査ツール

Maigret – アカウント名から各種サービス上のプロフィールを串刺しで調査するツール

Maigret でユーザー名 akky を調査した際の結果(一部)

soxoj/maigret(メグレ)は、SNSなどユーザー登録ができるサービス群に対し、アカウント名からユーザーページを調査するというツールです。

たとえば @akky というアカウント名があった場合に、twitter や Instagram などメジャーなSNSから、reddit などの掲示板、ブログや趣味のサービスなど大量のサービスについて、それぞれのユーザー akky のページの情報をスクレイプしてレポートを作ってくれます。

動かしてみた様子がこれ。

Maigret でユーザー名 akky を調査した際の結果(一部)

調査の可能なwebサービスは約2500個、Alexaで人気の高い順に個数を指定して調べさせたりもできます。

各サービスのユーザープロフィールページをチェックしにいくということは、ユーザーページのURLパターンを持っているということ。そのデータは data.json というファイルにあり、今登録されていないwebサービスの情報を追加依頼することもできます。

もともと Sherlock という先行ツールがあり、Maigret はそこからフォークして対応サイトを増やしたりしているようです。命名はシャーロックからフォークしたメグレ、というわけですね。シャーロックの対応サイトが500個ほどなのに対して、2500個のサイトのデータを持っているのは頑張っているのではないでしょうか。

とあるサービスのアカウント名から、他のサービスでどんな活動をしているか調べるのを補助するツールということで、他人が望んでいないプライバシーの紐づけにつながる点で警戒する人もいるでしょう。

また、たまたま同じユーザー名を別のサービスで使っている人たちが、誤って同一人物とされ、その間違いから誤情報が生み出されることもあるかもしれません。よくある単純なユーザー名を持っていると、このあたりはハナから別のサービスで同じユーザー名が取れないのは当たり前で気にならないのですが、数字などを含めて長いユーザー名を色々なサービスで使っている人はサービス間での紐づけがされうることに注意すべきかもしれません。

via Hacker News

カテゴリー
Android

Fake Contacts – Androidの連絡帳をフェイク連絡先で汚染するためのツール

スマートフォンが覚えている連絡先、電話帳として掛けるときにも名前から知人友人を探せますし、相手から電話が掛かってきた時も番号ではなく掛けてきた人や会社の名前を表示してくれて便利ですよね。

そんな連絡帳に、嘘の連絡先情報を追加するという Android アプリが Fake Contacts (BillDietrich/fake_contacts)です。

アプリケーションは Google Play ストアには無い(Google から承認されていないのでしょう)ため、GitHub のリリースページからダウンロードして開発者モードでインストールする必要があります。

アプリを起動すると、ランダムに作られた連絡先の氏名、メールアドレス、電話番号が表示されるので、それでよければ create ボタンを押して連絡先を一つ追加できます。次々繰り返せば、連絡帳には存在しない架空の個人情報がどんどん増えていきます。

デフォルトでは、生成される名前の先頭が “Z” で始まるので、ABC順で見ている分にはフェイクの連絡先は末尾に固まって出てくるだけで、実用上邪魔にならないということです。Zで始まる名前も皆無ではありませんが…

生成したフェイク連絡先をまとめて削除する機能もついています。

偽の連絡先を入れる目的

でも、何のためにニセ連絡先を入れる必要が?

音声SNS の ClubHouseがIT業界人を中心に大盛り上がりしたのはまだ今年の初めのことですが、この ClubHouse の友人招待も、アプリに連絡帳へのアクセスを許すことで行われるという仕組みでした。

ClubHouse に連絡帳を見せないと登録できないし、連絡帳を見せることで自分の連絡帳に載っている相手を招待できるという仕組み。いわば人気の新サービスに登録できる権利でもって連絡帳情報を開放させる取引になっていました。

ClubHouse は連絡先のデータの活用をそのラインを超えてはしないかもしれませんが、ユーザーの連絡先情報にアクセスできる権限というのは非常に強力なものだと思います。ユーザーのネットワーク情報を入手できますし、メールアドレスや電話番号を使えばネットワークに次々と勧誘をかけることだって可能です。

このアプリは、連絡先情報を渡すサービスに対して、渡したリストの S/N 比を低下させようというものです。リストのほとんどが存在しない人物の情報で、メールアドレスも不達であればリストの価値は減り横流しの動機も減る、かもしれません。フェイクの電話番号はどこかに掛かってしまうという問題も起こりそうですけれど。

一人が情報汚染(data poisoning)を仕掛けても、連絡先情報を悪用しようとする取得者側にすぐに問題が起こることはないでしょうし、リストの全員にどのみちスパム等を送られるのであれば、登録してある本物の友人知人に迷惑が掛かることも変わりません。

多数の人が簡単にフェイクの連絡先を与える選択を持てれば、悪用業者にダメージを与えることもできるのかもしれませんけども。