Facebookの脆弱性にサイバー攻撃、約5000万ユーザーに影響 - 誕生日祝福機能にバグ

具体的には、攻撃者が悪用した脆弱性は3種類のバグに起因。「特定のユーザーへのプレビュー」では本来閲覧機能のみ提供するところ、友人の誕生日を祝福するバージョンにおいて動画を投稿する機能が存在していた。

くわえて動画のアップローダで誤ってFacebookのモバイルアプリにアクセス許可を与えるアクセストークンを生成していたほか、「特定のユーザーへのプレビュー」では利用者のアクセストークンではなく、探し出したユーザーのアクセストークンを生成していたという。

脆弱性を通じて生成されたアクセストークンは、ページのHTMLに含まれ、攻撃者が抽出して他ユーザーへログインするために利用することが可能となっていた。

攻撃者は不正に取得したアクセストークンを利用して他利用者になりすましてログインし、さらに別のユーザーのアクセストークンを取得するといったことができる状態だった。

（Security NEXT - 2018/10/01 ） ツイート

PR

関連記事

県立美術館のSNSアカウントに複数の不正投稿 - 鳥取県
「偽警告」相談が2割増 - 「フィッシング」関連は1.5倍に
鹿児島県共生・協働センターのFacebookアカで不正投稿 - 不正な広告も
【特別企画】最先端企業が直面した「AIセキュリティの盲点」とは？ - 生成AIテーマにカンファレンス
「不正ログイン」相談が約1.5倍 - 「偽警告」は関係者逮捕で減少するも限定的
2Qの個人「サポート詐欺」相談は912件 - 検挙後に減少
県知事なりすましアカウントを複数確認 - 鹿児島が注意喚起
米政府、GW期間中に悪用確認脆弱性10件を追加
サポート詐欺の相談が1000件超 - SNS乗っ取り相談も増加
2024年4Qのセキュ相談 - 「不正ログイン」が45％増