Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Facebookの脆弱性にサイバー攻撃、約5000万ユーザーに影響 - 誕生日祝福機能にバグ

具体的には、攻撃者が悪用した脆弱性は3種類のバグに起因。「特定のユーザーへのプレビュー」では本来閲覧機能のみ提供するところ、友人の誕生日を祝福するバージョンにおいて動画を投稿する機能が存在していた。

くわえて動画のアップローダで誤ってFacebookのモバイルアプリにアクセス許可を与えるアクセストークンを生成していたほか、「特定のユーザーへのプレビュー」では利用者のアクセストークンではなく、探し出したユーザーのアクセストークンを生成していたという。

脆弱性を通じて生成されたアクセストークンは、ページのHTMLに含まれ、攻撃者が抽出して他ユーザーへログインするために利用することが可能となっていた。

攻撃者は不正に取得したアクセストークンを利用して他利用者になりすましてログインし、さらに別のユーザーのアクセストークンを取得するといったことができる状態だった。

(Security NEXT - 2018/10/01 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2020年のフィッシング、3分の2が「HTTPS」対応 - 12月には半数超に
違反取締計画が流出、複数SNSに投稿 - NEXCO西日本
約5.3億件のFacebookユーザー情報が流通、日本は約42万件 - 人口上回る国も
訪日外国人向けアンケートの回答内容が閲覧可能に - 中部国際空港
Instagramに偽アカウント - キングジムが注意喚起
フィッシングサイト、「偽Microsoft」が最多 - 「偽楽天」は3Qに急増
「Emotet」相談、引き続き高い水準 - 偽脅迫メールは増加
Chrome機能拡張の開発者をFacebookが告訴 - 個人情報収集で
フィッシングにパーソナライズの傾向 - 狙われるブランドは変わらず「MS」
メッセンジャーアプリ「WhatsApp」にRCE脆弱性 - iOS版に影響