Facebookユーザーにとって悪い知らせはこれだけでは終わらない。今、Facebookは、あまり知られていない機能のために、5000万人のユーザーのアカウントが何らかの形でハッカーによって悪用されたことを認めざるを得なくなった。

View by」機能により、自分の個人データが他の人からどのように見えるかを確認することができるので、例えば、プライバシー設定が正しく適用されているかどうかを確認することができます。

ハッカーはこの機能のセキュリティホールを利用して、アクセストークンを盗み、人々のアカウントを乗っ取ることができます。これは、基本的にログインを許可するログインクッキーです。これは、数年前に人々がホットスポットのネットワークトラフィックを盗聴していたときに流行したセッションハイジャック攻撃と変わりありません。これは、VPNを常に使用したい理由と、ウェブがHTTPSに切り替え続ける理由の1つです。しかし、この場合、バグはFacebookのコードに存在するので、そこからあなたを保護するものは何もないのです。

問題はビデオアップローダーにあるようで、ページとしてビューに表示されるべきでないメッセージを送信するのですが、表示されてしまいます。ビデオアップローダを開くと、このバグによって、ハッカーはプロフィールを閲覧しているアカウントとしてログインすることになります。このバグを利用して、「6 Degrees of Kevin Bacon」の後、5000万件のアカウントにアクセスするまで、全員の友達リストにアクセスし、各友達の友達としてログインしていたのです。

知っておきたいこと

アップデート：Facebookログインを使用する他のアプリも影響を受ける可能性があり、ハッカーがInstagram、Tinder、Spotifyなどにアクセスする可能性があることがわかりました。

この崩壊の詳細は今のところ弱いのですが、以下のことが分かっています。

• 5,000万件のアカウントがアクセスされた。
• フェイスブック、セキュリティのため9000万人のユーザーをログオフ。
• この不具合は修正されました。
• セッションクッキーを引き継いでも、攻撃者があなたのパスワードにアクセスできるようになるわけではありません。
• 彼らがどの程度のデータにアクセスできるのか、また、Facebookのログインを使用する第三者のアプリケーションに影響があるのかどうかはわかりません。
• Facebookのトップにお知らせが表示され、状況を知ることができます。
• このままでは本当にどうしようもない。

Facebookは、このような事態が発生した原因、失われたデータの量、今後の問題に対処する方法を調査するため、「名前を付けて表示」機能を完全に無効化しました。

このデータ流出は、Facebookが影の個人データを収集し、電子メールアドレスを使用して広告のターゲットを絞っているという最近のニュースと相まって、これらのインターネット大手に対するGDPRスタイルの規制を求める声が高まるでしょう。そして、そうあるべきなのです。

関連記事：フェイスブックが電話番号を使って広告のターゲットに、あなたはそれを止めることができない。