MusicFMのAPIの問題を調べてみた

2019年8月16日 Facebookログインについて追記しました

こんばんは、かめたんです。

本日、「MusicFMを使えば個人情報を抜かれる」といった内容のツイートが目に入り、スクリーンショットも添付されていたので、興味を惹かれ、その真偽について検証してみました。

「個人情報を抜かれる」と言うのはMusicFMにではなく第三者に取得されると言う意味だと思われます。

問題のサイト

今回問題になっているサービスは、MusicFMといった無料で音楽を聴けるグレーなサービスのようです。私は今回の問題を知るまで、使ったことはありませんでした。MusicFMは偽物がたくさんあるのでどれが本物か私にはわかりませんが、問題のサービスは突き止めることができました。

どうやらこのサイトのサービスのようです。

http://www.musicfmjp.com

検証

検証は、実際に複数のアカウントを作成し、APIを経由し、情報を取得できるか試しました。詳しい検証の手順は、本問題が解決するまで公開は差し控えさせていただきます。

▲MusicFMのTwitter認証画面

Twitter認証画面から、Twitterでログインする場合、メールアドレスや電話番号はMusicFMに取得されないことがわかります

▲MusicFMのGoogleの認証画面

Googleアカウントでログインする場合、名前やメールアドレスやプロフィール写真がMusicFMに取得されるようです。

次にAPIから情報を取得します。私はサービスを解析し、APIのエンドポイントを発見しました。取得できた情報には、uid(ユーザーID), アバターの画像のURL, 性別, 誕生日などが含まれているように見えます。この情報は他アカウントのものも取得できました(検証に使用したアカウントは全て私が作成しました)。

▲実際に取得できたTwitterでログインした筆者のアカウント情報

結論

アカウント名, プラットフォーム(iOSかAndroidかなど), アバターの画像に加えて、Googleからログインしているユーザーはメールアドレスをを第三者に取得される恐れがある。アカウント名はTwitterアカウントでログインしている場合、スクリーンネーム、Googleアカウントでログインしている場合、Googleアカウントの名前になっていた。アバターの画像は、Googleアカウントでログインしている場合、Googleアカウントのプロフィール画像が使用されていた。

住所や電話番号は空欄で、誕生日と性別は固定値(皆同じ値)であり、MusicFMにはこれらの情報を編集する方法もない為、MusicFMには保存されておらず、第三者に取得される恐れはない。

Facebookのアカウントは所持していない為、検証出来なかった。

最後に

確かに個人情報は第三者に取得される可能性が存在しました。だが、メールアドレス以上の情報は第三者に取得されないこともわかりました。メールアドレス収集販売組織の目に止まる前に、情報を非公開にしてもらいたいものです。

2019年8月16日追記

▲MusicFMのFacebookの認証画面

Facebook アカウントでログインする場合、氏名とプロフィール写真がMusicFMに取得させるようです。住所や電話番号は取得されないとのことです。メールアドレス、性別などは、Facebookで公開している場合は、取得も可能だと思われます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です