Facebookの脆弱性にサイバー攻撃、約5000万ユーザーに影響 - 誕生日祝福機能にバグ

具体的には、攻撃者が悪用した脆弱性は3種類のバグに起因。「特定のユーザーへのプレビュー」では本来閲覧機能のみ提供するところ、友人の誕生日を祝福するバージョンにおいて動画を投稿する機能が存在していた。

くわえて動画のアップローダで誤ってFacebookのモバイルアプリにアクセス許可を与えるアクセストークンを生成していたほか、「特定のユーザーへのプレビュー」では利用者のアクセストークンではなく、探し出したユーザーのアクセストークンを生成していたという。

脆弱性を通じて生成されたアクセストークンは、ページのHTMLに含まれ、攻撃者が抽出して他ユーザーへログインするために利用することが可能となっていた。

攻撃者は不正に取得したアクセストークンを利用して他利用者になりすましてログインし、さらに別のユーザーのアクセストークンを取得するといったことができる状態だった。

（Security NEXT - 2018/10/01 ） ツイート

PR

関連記事

郡山市の偽Facebookアカウント - 「プレゼント当選」などと誘導
Facebookに鹿児島県知事の偽アカウント - 公式上回るフォロワーを獲得
国連UNHCR協会のInstagramアカウントが乗っ取り被害
WP向けプラグイン「UserPro」に深刻な脆弱性 - 組み合わせで悪用容易に
浦和レッズの公式Facebookアカウントが一時乗っ取り被害
まもなく「CODE BLUE 2023」が開催 - 創立者が語る注目ポイント
インスタとFacebookアカウントが乗っ取り被害 - 京都のホテル
アカウント乗っ取り、複数Facebookページが改ざん - 三重県文化会館
「怖い絵展」のFacebookページが乗っ取り被害 - 産経新聞
「ChatGPT」に便乗、偽アプリが出回る - 実際は情報盗むマルウェア