Facebook ユーザーはリラックスして、ソーシャル ネットワーク上の質の高いコンテンツや本物の人々との交流に戻ることができます。
先月、インターネット大手から個人アカウント情報が意図的に盗まれた事件。当初は5000万、いや9000万のアカウントに影響すると見られていたが、実際にはそれほど深刻ではなかったようだ。咳払い。
金曜日、データ収集ビジネスを展開する同社は、Facebookアカウントへのログインに使用されていた認証トークンが盗まれたのはわずか3000万人だったと発表した。これはFacebookのアクティブユーザー総数のわずか1.34%に過ぎない。この数字は、この反社会的ネットワークがいかに制御不能な規模にまで拡大しているかを如実に物語っている。
「当初考えられていたよりも影響を受けた人は少なかったことがわかった」と、製品管理担当副社長のガイ・ローゼン氏は、太平洋時間金曜朝のメディア向け電話会議で述べた。
トークンの盗難によってFacebookログインを実装しているサードパーティ製アプリが侵害されるのではないかという当初の懸念は全くの杞憂でした。ローゼン氏によると、Messenger、Messenger Kids、Instagram、WhatsApp、Oculus、Workplace、Pages、決済、サードパーティ製アプリ、広告、開発者アカウントは影響を受けていないとのことです。危機一髪です。
盗まれたトークンのうち100万件については、攻撃者は何も情報を入手しませんでした。1500万件については、名前、電話番号、メールアドレス(プロフィールに記載されている場合)を入手しました。残りの1400万件については、プロフィールデータフィールドだけでなく、さらに多くの情報にアクセスしました。
基本的に、たとえば、Web サイト上のアカウントを制御するために誰かのセキュリティの質問に答えるために必要なすべてのものです。
ソーシャルネットワークは以前、The Registerに対し、影響を受けたアカウントの中にFacebook CEOのマーク・ザッカーバーグ氏とCOOのシェリル・サンドバーグ氏のアカウントが含まれていることを確認した。
ローゼン氏は、被害者がたまたまFacebookユーザーからメッセージを受け取ったFacebookページの管理者でない限り、攻撃者はメッセージの内容にアクセスできなかっただろうと述べた。
ハッキングの解剖学
ローゼン氏の説明によると、攻撃者は2017年7月から2018年9月の間に存在したFacebookのコードの脆弱性を利用したという。
9月25日、Facebookは、以前から異常と認識されていたアクティビティの急増が攻撃によるものだと判断しました。異常なトラフィックは9月14日に始まりました。
Facebook:最大9000万人の中毒者のアカウントがハッカーに盗まれたが、原因は粗悪なコードではない
続きを読む
フェイスブック社が攻撃者の身元、所在地、あるいは意図についてさらに情報を提供できるかとの質問に対し、ローゼン氏はフェイスブック社はFBIと協力して事件を捜査しており、FBIは誰が犯人であるかを話すことを控えるよう同社に要請したと述べた。
3つの別々のソフトウェアバグの相乗効果により、犯人はFacebookの「別のユーザーとして表示」機能(ユーザーが自分のアカウントを他人の視点で表示できる機能)を悪用し、表示したアカウントに関連付けられたアクセストークンを盗むことに成功しました。このトークンは、ユーザーがFacebookにログインすることなく、サイトからデータを送受信する際に利用できるようにするものです。
ローゼン氏によると、攻撃者はまずアカウント群を掌握し、脆弱なコードを悪用してスクリプトを実行し、友人とその友人の友人、つまり約40万人のグループからアクセストークンを収集した。そして、これら40万のシードアカウントの友人リストを利用して、3,000万のアカウントからアクセストークンを盗み出した。
ローゼン氏は9月27日、Facebookが脆弱性を修正し、影響を受けたアカウントを保護し、アクセストークンをリセットしたと述べた。また、Facebookはより小規模な攻撃の可能性を調査していると述べた。
電話を待つ
Facebook はヘルプセンターに事件の概要を掲載し、影響を受けた 3,000 万人のユーザーに対してカスタマイズされたメッセージを送信する予定です。これは、ユーザーのデータにアクセスできる場合に実行できることであり、どのような情報が盗まれたか、およびさらなる被害を防ぐために取るべき手順を説明します。
「人々のプライバシーと安全は非常に重要であり、このような事態が起きたことを残念に思います」とローゼン氏は述べた。
その悲しみにも限界がある。レジスター紙はFacebookに対し、被害に遭った3000万人の個人情報盗難監視費用を負担する意向があるかどうか尋ねた。これはデータ盗難後の一般的な悔悟行為である。
Facebookの広報担当者は、「現時点ではそうではありません。私たちが皆さんにご紹介するリソースは、実際にアクセスしたデータの種類に基づいており、疑わしいメール、テキストメッセージ、通話から身を守るために皆さんが取ることができる手順も含まれています」と述べた。
それでも、Facebookは事態を収拾するために最終的に会社の金庫を開けることになるかもしれない。同社は、影響を受けたユーザーのうち、EUに居住している人の何人がGDPR(データ保護規則)に基づき、会計士にとって涙が出るほどの罰則を科せられる可能性があるのか、詳細を明らかにしていない。
「Facebookが潜在的な責任についてどのような情報を開示するかを見極める必要がある」と、CipherCloudのCEO、プラビン・コタリー氏はThe Registerへのメールで述べた。「GDPRに基づく潜在的な罰金の計算は、数百万人のユーザーへの影響を考えると、少々気が遠くなるような金額だ。」®
