Facebookのパスワードに関する脆弱性が報告された。攻撃者に悪用されると、アカウントに容易にアクセスされてしまうおそれがある。これを報告した研究者のAnand Prakash氏は、同社のバグ発見報奨金プログラムを通して1万5000ドルを受け取った。
この脆弱性は単純なもので、同氏はそれを突いて、「一切のユーザー操作なしに」さまざまなFacebookアカウントにアクセスした。
同氏はメッセージや写真、動画、Facebookの決済セクションに保存された決済情報など、アカウント内に保存された全情報にアクセスすることができた。
Prakash氏は米国時間3月7日のブログ記事で、一部バージョンのFacebookではセキュリティプロトコルが欠落しているため、攻撃者は正当なアカウント所有者に知られることなくアカウントパスワードをリセットできてしまうと説明した。
アカウントパスワードを忘れてしまったとき、ユーザーはFacebookのパスワードリセット機能「Forgot Password」を利用して、自分の電話番号か電子メールアドレスを入力し、アクセスを回復することができる。
そのとき、Facebookはアカウント所有者を認証するために、6桁のコードを送信する。新しいパスワードの作成には、このコードの入力が必要だ。
Facebookのメインウェブサイトで総当たり攻撃を試みても、10~12回の試行でそのコードはブロックされる。しかし、「beta.facebook.com」や「mbasic.beta.facebook.com」などのベータページでは、状況が異なっていた。Prakash氏によると、メインウェブサイト以外のこうしたドメインでは、回数制限(メインウェブサイトの総当たり攻撃対策で、6桁のパスワードリセットコードを見つけようとして何度も試すのを防止する)が実装されていなかったという。
その後、Prakash氏が自分のアカウントを実験台として総当たり攻撃をして、新しいパスワードを問題なく設定し、そのアカウントとそこに保存されたすべての情報にアクセスするのは、簡単な作業だった。
この脆弱性は2月22日にFacebookに報告された。この脆弱性は単純で、個人のサイバー攻撃者のスキルで簡単に悪用することが可能であるため、Facebookは速やかにテストして脆弱性の存在を認めた。そして問題を修復し、Prakash氏に責任あるバグ報告の報酬として1万5000ドルを支払った。
これに関連するニュースとして、Facebookは今週、ウェブコンテンツを「Instant Articles」向けにカスタマイズする「Wordpress」プラグインを提供する計画を発表した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス