パスワードを忘れた? アカウント作成
13731764 submission
Facebook

Facebook、アカウントへの不正アクセス発生を伝えるニュース記事へのリンク投稿を一時ブロック

タレコミ by headless
headless 曰く、
Facebookは28日、「プロフィールを確認」ツールの脆弱性により、5,000万件近いアカウントのアクセストークンを攻撃者が不正に入手していたことを明らかにした(Facebookのニュース記事)。

「プロフィールを確認」は、他のユーザーが自分のプロフィール画面を見た場合の見え方を確認するツール。表示画面は閲覧のみを意図したものだが、メッセージ送信用のUIが誤って有効になっており、動画を投稿することも可能だった。動画アップローダーにはFacebookモバイルアプリ用のアクセストークンを生成する機能が誤って搭載されており、「プロフィールを確認」画面内では見え方を確認しようとした他のユーザー用のアクセストークンを生成していたという。攻撃者はこれら一連のバグを悪用して他のユーザーのアクセストークンを入手していたとのこと。

Facebookでは脆弱性の修正および捜査機関への通報、影響を受けた5,000万近いアカウントおよび影響を受けた可能性のある4,000万アカウントについてアクセストークンをリセットしたほか、「プロフィールを確認」機能を一時的に無効化している。アクセストークンがリセットされた約9,000万アカウントはログアウト状態となり、再度ログインするとニュースフィードの先頭に通知が表示されるという。なお、パスワードが不正アクセスを受けたわけではないので、変更の必要はない。

この件がメディアで報じられ、多くのFacebookユーザーがニュース記事へのリンクをシェアしようとしたところ、APThe Guardianなどの記事へのリンクが一時ブロックされて投稿できない状態になっていたそうだ。投稿をブロックされたユーザーがTwitterに投稿したスクリーンショットによると、多数のユーザーが同じコンテンツを投稿しようとしたため、Facebookのセキュリティシステムがスパムと判定したようだ(The Next Webの記事Mashableの記事)。

しかし、スパム防止機能は詐欺広告や嘘ニュースなど信頼できない情報の拡散を防ぐためのものだ。重大な事件などが発生した場合、APやThe Guardianなどの記事は多くのユーザーが短時間に投稿することも予測できたはずで、ブロックされないよう事前に設定しておくべきではなかったかという指摘も出ている。なお、The Washington PostやUSA TODAYの記事はブロックされなかったとのことだ。
この議論は、 ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...