Facebook、アクセストークン不正取得問題で被害状況確認できるページ公開
2018年10月16日 19:27
headless曰く、 Facebookは12日、9月に発生した「プロフィールを確認」ツールの脆弱性を狙った攻撃について、より詳細な被害範囲などを明らかにし、アカウントの被害状況を確認可能なヘルプページを公開した(Facebookのニュース記事)。
「プロフィールを確認」(View As)ツールは自分のプロフィール画面を他のユーザーが見た時の見え方を確認するツールだが、2017年7月から2018年9月まで複数のバグにより、指定した「他のユーザー」のアクセストークンを取得可能な状態になっていた。Facebookでは9月14日から異常なアクティビティーを検知、9月25日には攻撃と断定して脆弱性を特定し、対策を行った。当初の発表ではアクセストークンを不正に取得されたユーザーの数を約5,000万人としていたが、実際には3,000万人程度だったという。
攻撃者はFacebook上の「友達」とつながる複数のアカウントを制御下におき、自動処理によりアカウントを切り替えていくことで友達やその友達のアクセストークンおよそ40万人分を取得できる状態にあった。ただし、この段階ではアクセストークンを取得するのではなく、各ユーザーのプロフィール画面を読み取って友達のリストを収集し、そのリストの一部を使用しておよそ3,000万人のアクセストークンを不正に取得したそうだ。
攻撃者はそのうち1,500万人についてプロフィールに設定された連絡先(電話番号または電子メールアドレス、またはその両方)にアクセスしており、1,400万人は連絡先の情報に加えてユーザー名や性別、誕生日などを含むさらに詳細な情報にアクセスしていたという。残りの100万人については、一切のユーザー情報にアクセスされた形跡がないとのこと。
自分のアカウントが影響を受けたかどうかについては、Facebook Help Centerで確認(要ログイン)できる。本件は現在、米連邦捜査局(FBI)が捜査しており、攻撃者の背後関係などは公表しないよう求められているとのことだ。