批評家のジェームズ・マーティンデール氏によると、事前登録した携帯電話番号を使ったFacebookアカウントの回復は実装が不十分で、悪用される可能性があるという。
マーティンデール氏はMediumに「修正されない脆弱性を利用してFacebookアカウントをいくつかハッキングしたようなものだ」と題する記事を投稿し、ソーシャルネットワークにシステム強化を迫るべく自身の懸念を強調した。
ユーザーが所有しなくなった古い電話番号が、アカウントに紐付けられている場合、通信事業者はそれを別の人物に割り当てることができます。その番号がFacebookアカウントに紐付けられている場合、新しい所有者はパスワードなしでアカウントにログインし、パスワードを変更するか、そのままにしておくことができます(つまり、侵害が発生したことが誰にも知られないようにするのです)。この抜け穴は特定のアカウントを狙うことはできませんが、例えばアカウント所有者の友人や連絡先に対して詐欺行為を行う前に、アカウントを乗っ取るために利用される可能性があります。
レジスター紙の質問に対し、フェイスブックは自社の慣行は他のオンラインサービスと似ており、疑わしいパスワード回復の試みを検知した場合にはすでに警告を発していると答えた。
マーティンデール氏は、フェイスブックは要点を理解していないと反論し、「いくつかのオンラインサービス」も電話番号によるアカウント回復を提供しているというのは、あまり良い防御策ではないと付け加えた。
Facebookは、ユーザーが複数の携帯電話番号を持つことができるという点で、他のサービスとは異なります。マーティンデール氏がこの問題に遭遇したのは、以前別のFacebookユーザーに紐付けられていた番号を、通信事業者から割り当てられた時でした。Facebookからリマインダーのテキストメッセージを受け取り、そのアカウントに5つの電話番号が紐付けられていることに気づいたのです。「テクノロジーにあまり詳しくない友人の多くは、電話番号を削除せず、通信事業者を変えたり引っ越したりしても、新しい番号を追加し続けます」とマーティンデール氏は指摘します。
Facebookのモバイルアカウントの回復 [出典: James Martindale]
「Facebookが私が引き継いだ電話番号に再エンゲージメントを促すSMSメッセージを送信していなければ、おそらくこの脆弱性に遭遇することはなかったでしょう」と彼は付け加えた。「非アクティブなユーザーに、何を逃しているのかを思い出させるために数通のテキストメッセージを送信するのは理解できますが、しばらくするとFacebookはユーザーが興味を失っていると判断するべきではないでしょうか?これらのテキストアラートにより、Facebookアカウントに電話番号が紐付けられていることを(Facebookで電話番号を検索する以外に)驚くほど簡単に発見できます。」
「この実験を始めた時、Facebookがパスワードのリセットを強制するまでやり続け、それ以上はやめようと決めていました」とマーティンデール氏は説明した。「Facebookは何も変更せずにログインさせてくれたので驚きました。電話番号でアカウントを復旧させ、パスワードを変更せずに済むウェブサイトは、Facebook以外には一つも知りません。」
マーティンデール氏はエル・レグ紙に対し、フェイスブックが不審なログインを検知する何らかのシステムを導入していると聞いて喜ばしいとしつつも、改善が必要だと主張した。
「この脆弱性を発見して以来、新しい電話番号を受け取ったら、関連するFacebookアカウント(もし存在する場合)にログインし、脆弱性がまだ残っているかどうかを確認し、アカウントからその電話番号を削除するという習慣が身につきました」と彼は述べた。「『詳細情報の入力を求められたことは一度もありません。Facebookの不審なログイン検出機能には改善の余地があります。」
Facebookは、不審な復旧試行の検出能力を向上させるだけでなく、ユーザーがログイン時に使用したのと同じメールアドレスや電話番号を使ってアカウントを復旧できないように変更を加えるべきだ。「Google、Microsoft、そしてその他多くの優れたオンラインサービスは、ユーザーに別のメールアドレスや電話番号の使用を義務付けており、復旧を続行するために難読化された番号/メールアドレスの残りの部分を要求することもある」とマーティンデール氏は主張する。「これだけで、この脆弱性を悪用する行為はすぐに阻止できるだろう。」
さらに、Facebookはユーザーがアカウント復旧手続きを行うたびに、パスワードのリセットを強制的に実施すべきだ。「パスワードのリセットを強制し、アカウントに紐付けられたすべてのメールアドレスと電話番号に通知を送信することなく、ユーザーがアカウントを復旧できるようにすべきではない」とマーティンデール氏は述べた。「アカウント所有者は、自分の知らないうちに誰かが自分のアカウントに侵入していないかを知るために、パスワードが変更されたことを知らなければならない。」
「ユーザーがアカウントに新しい電話番号を追加した場合、Facebookは直ちに古い電話番号を削除するかどうかを尋ねるべきだ」と彼は付け加えた。「Facebookがユーザーに現在の電話番号のみを登録するよう促すのであれば、それが最善の方法だろう」とマーティンデール氏は結論付けた。®
