メモ

Facebookは9月28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。
「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっていたため、動画の投稿も可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。
Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。

Facebook、不正アクセス伝えるニュースへのリンク投稿を一時ブロック | 財経新聞