画像:Facebook公式より
大手SNSの「Facebook」は2018年9月28日、ユーザーのアクセストークンが何者かの手に渡ったことを明らかにしました。
同社によると、便利機能の1つである「View As」に脆弱性が含まれていたとのこと。影響は非常に大きく、合計5,000万人に及ぶものと見られています。
アカウント乗っ取りも可能だった
Facebookは今回の事案について、攻撃者は「View As」の脆弱性を利用して、不正にアクセストークンの情報を入手したと説明しています。
攻撃者によるアカウントへの不正アクセスや、ユーザー情報の不正利用等の被害は、現段階で明らかになっていません。
ただしアクセストークンは、悪用することでアカウントの乗っ取りすら可能な認証情報です。被害の全容が明らかになっていない段階では、予断を許さないと言えるでしょう。
9,000万人分のトークンをリセット
Facebookは今回の事案を受けて、問題となった「View As」の機能を停止しました。
更に被害を受けた5,000万人分のアカウントに加えて、予備的措置として4,000万人分のアカウントのアクセストークンをリセット。併せて対象ユーザーのニュースフィードの上部に問題を知らせる画面を表示するなどして、対応を進めています。
なお同社は今回の事案について、「極めて重大」との認識を表明。謝罪しています。
参照 /Yahoo!ニュース