Facebookは、5,000万人のユーザーのアカウントへのデータ侵害が最近発覚したことを、9月28日金曜日に発表しました。
このソーシャルメディアの最大手企業は、同社のエンジニアリングチームが9月25日火曜日にこのセキュリティ上の問題を発見したと発表しました。
「私たちの調査はまだ初期段階です。しかし、攻撃者が『View As(特定のユーザーへのプレビュー)』の機能(特定の人に対して利用者のプロフィールがどのように表示されているかを確認する機能)に関連するFacebookのコードの脆弱性に目をつけ利用したことが分かっています」と、Facebookは説明しています。
カリフォルニア州メンローパークに拠点を置く同社は、「あるバグによってユーザーアカウントが攻撃者に乗っ取られた」とし、「しかし、セキュリティの欠陥はすでに修正し、法執行当局に通報済みである」と述べています。
Facebookのプロダクトマネジメント担当バイスプレジデントであるGuy Rosen氏は、「この件を非常に深刻に受け止め、皆様には何が起きたかを説明し、皆様のセキュリティを保護するためにすぐにアクションを取ったことをご理解いただきたい」と話しています。
Facebookはこの措置として、約9,000万のユーザーの強制ログアウトを金曜日の早朝に行ったと伝えています。
「当社は、影響があったと思われる約5,000万件のアカウントのアクセストークンをリセットしました。また、予備措置として昨年「View As(特定のユーザーへのプレビュー)」の機能の対象であったさらに約4,000万のアカウントのアクセストークンをリセットします。これにより約9,000万人の利用者の皆様がFacebookあるいはファミリーアプリのご利用にあたり再度ログインする必要があります。」
同社は、「『View As(特定のユーザーへのプレビュー)』の機能は、セキュリティ監査のため、一時的に使えないようにした」とし、
「アカウントの不正使用、または情報への不正アクセスがあったかはまだわかっていない」とも説明しています。また攻撃者の身元も判明していません。
「詳細の究明に全力で取り組むとともに...また、影響するアカウントが増えれば、アクセストークンをすぐにリセットします」とRosen氏は付け加えました。
FacebookのCEO、Mark Zuckerberg氏もまた、Facebookの投稿で侵害の事実を認めました。
https://www.facebook.com/zuck/posts/10105274505136221
Mark Zuckerberg
我々が発見した重要なセキュリティの問題について新しい情報をお知らせします。昨夜、問題にパッチを適用し、影響を受けたと思われる方々に予備措置をとりました。まだ調査は継続中ですが、すでに分かっていることをお伝えします。
火曜日に、攻撃者が技術上の脆弱性を悪用してアクセストークンを盗み、Facebook上の約5,000万のアカウントにログインしました。
まだ、これらのアカウントが...
Tripwireの製品管理および戦略部門バイスプレジデントのTim Erlinは、このインシデントが今後さらに波及する可能性があると予想しています。
「ソーシャルメディアでデマが蔓延しているこの時代に、5,000万件のアカウントのコントロールは大問題です。Facebookの社内では、GDPRへの影響に懸念が生じているに違いありません。このことは、始まったばかりの規制の試金石となるでしょう」とErlinはコメントしています。
