Facebookの脆弱性にサイバー攻撃、約5000万ユーザーに影響 - 誕生日祝福機能にバグ

具体的には、攻撃者が悪用した脆弱性は3種類のバグに起因。「特定のユーザーへのプレビュー」では本来閲覧機能のみ提供するところ、友人の誕生日を祝福するバージョンにおいて動画を投稿する機能が存在していた。

くわえて動画のアップローダで誤ってFacebookのモバイルアプリにアクセス許可を与えるアクセストークンを生成していたほか、「特定のユーザーへのプレビュー」では利用者のアクセストークンではなく、探し出したユーザーのアクセストークンを生成していたという。

脆弱性を通じて生成されたアクセストークンは、ページのHTMLに含まれ、攻撃者が抽出して他ユーザーへログインするために利用することが可能となっていた。

攻撃者は不正に取得したアクセストークンを利用して他利用者になりすましてログインし、さらに別のユーザーのアクセストークンを取得するといったことができる状態だった。

（Security NEXT - 2018/10/01 ） ツイート

PR

関連記事

県知事なりすましアカウントを複数確認 - 鹿児島が注意喚起
米政府、GW期間中に悪用確認脆弱性10件を追加
サポート詐欺の相談が1000件超 - SNS乗っ取り相談も増加
2024年4Qのセキュ相談 - 「不正ログイン」が45％増
「偽警告」相談が半減するも油断禁物 - 引き続きサポート詐欺に警戒を
図書館Facebookアカが乗っ取り被害、不正投稿も - 苅田町
政府、大規模SNS事業者に「偽広告」への対応強化を要請
「Foxit PDF Reader」の警告画面に問題 - 悪用する攻撃も
郡山市の偽Facebookアカウント - 「プレゼント当選」などと誘導
Facebookに鹿児島県知事の偽アカウント - 公式上回るフォロワーを獲得