9月25日にFacebook(NASDAQ:FB)の技術者によって発見されたセキュリティ侵害により、攻撃者はユーザーアカウントを直接制御することができました。正確にはそれらの約5000万。
最新のFacebookセキュリティ違反
5000万人に加えて、Facebookはまた潜在的に脆弱な他の4000万人のアカウントがあると述べた。すべてが言った、同社はさらなる被害を防ぐために9000万アカウントをログアウトしました。
$config[code] not foundセキュリティアップデートで、Facebookは攻撃がそのコードの多数の問題の複雑な相互作用を不正利用することができると認めた。これは、2017年7月に会社が「アップロード」機能に影響を与えるビデオアップロード機能に加えた変更から生じました。
Facebookは、「攻撃者はこの脆弱性を見つけてアクセストークンを取得するためにそれを使用するだけではなく、そのアカウントから他のユーザーに集中してさらにトークンを盗む必要があった」と述べた。
この攻撃は、Facebookにとって最悪の時期には到来しなかったでしょう。同社は、次の中間選挙の前にセキュリティを強化しようとしていると同時に、約8700万人のユーザーからのデータが政治コンサルティング機関と共有されていたCambridge Analyticaの失敗から回復しようとしています。
機能として表示
表示機能を使用すると、ユーザーはプロファイルが他の人にどのように見えるかを確認できます。
攻撃者は「表示」機能の3つの欠陥またはバグを不正利用することができました。同じセキュリティアップデートで、エンジニアリング、セキュリティおよびプライバシー担当副社長のPedro Canahuati氏は、これらの欠陥を次のように挙げている。
- 「別名で表示」が誤って動画を投稿する機会を与えました。
- 2017年7月に導入された新しいバージョンのビデオアップローダ(最初のバグの結果として表示されるインタフェース)は、Facebookモバイルアプリの権限を持つアクセストークンを誤って生成しました。
- ビデオアップローダがView Asの一部として表示されたとき、アクセストークンはビューアに対してではなく、ユーザに対して見ていたアクセストークンを生成しました。
Facebookは、セキュリティレビューを行っている間、View As機能を一時的にオフにしたと述べた。
アクセストークンを発行するためのFacebookのトリック
この脆弱性により、攻撃者はFacebookを悪用してアクセストークンを発行することができました。これにより、あたかもユーザーであるかのようにユーザーアカウントにアクセスできるようになりました。
また、Airbnb、Spotify、Tinder、その他のアプリやゲームなど、Facebookを使用するためにユーザーが登録した可能性のあるサービスにもアクセスできました。
Facebookは、影響を受けた可能性がある追加の4000万アカウントと同様に、影響を受けた5000万アカウントのアクセストークンをリセットしました。
あなたのアカウントがこのインシデントの影響を受けた9000万のうちの1つであった場合、あなたはFacebookとリンクされたアカウントに再ログインするように促されます。
誰が責任者ですか?
Facebookの製品管理担当副社長、ガイローゼン氏は、電話会議(PDF)で、同社が法執行機関に通知し、FBIと協力していると述べた。
誰が責任を負っているかについては、Rosen氏は続けて、誰が攻撃の背後にいたのかを発見するのは難しいと述べ、「私たちは決して知らないかもしれない」と付け加えた。
画像:フェイスブック
3コメント▼
