Facebookがサードパーティ製アプリを承認

Facebookは、盗まれた認証情報がサードパーティのアプリを侵害するために使用される可能性があるという金曜日の警告を和らげた。

先週、同社は「View As」機能にバグがあり、悪意のある人物が何百万ものアカウントアクセストークンを収集できることを認めた。

当時、シリコンバレーの巨大企業は、わずか5000万アカウントが「直接影響を受けた」と推定し、さらに4000万アカウントが「検索」されたとしています。トークンを無効にするため、9000万アカウントすべてがログアウトされました。

このバグにより、サイトが「Facebookでログイン」機能を提供しており、アカウント所有者がそれを使用していた場合、攻撃者はスワイプしたトークンを使用して他のサイトやアプリにアクセスできるようになる可能性もあった。

これは、非常に大規模な侵入につながる可能性があった。イリノイ大学シカゴ校の研究者らは、サードパーティ製の Facebook アプリが 40,000 個以上あると見積もっているからだ (8 月の Usenix で、ジェイソン・ポラキス氏が率いるチームが、Facebook ログインなどのシングル サインオン製品のハッキングに関する研究 (PDF) を発表した)。

Facebookの製品管理担当副社長であるガイ・ローゼン氏は本日投稿したアップデートで、そのようなことは起きていないと述べた。

「先週発見した攻撃中にインストールまたはログインされたすべてのサードパーティ製アプリのログを分析しました。これまでの調査では、攻撃者がFacebookログインを使用してアプリにアクセスしたという証拠は見つかっていません」とローゼン氏は述べている。

同氏は、サードパーティの開発者も、公式のFacebook SDKを使用していたり​​、ユーザーアクセストークンの有効性を定期的に確認していたり​​すれば、トークンのリセットによって保護される、と付け加えた。

ローゼン氏は、これらのどちらも行わない開発者のために、「影響を受けた可能性のあるアプリのユーザーを手動で特定し、ログアウトできるようにするツールを開発している」と述べた。

最近退任したFacebookのCISOアレックス・スタモス氏は、金曜日のサードパーティ製アプリに関する警告はGDPRの72時間開示規則への対応であると推測した。

彼はツイートした。「GDPRの72時間期限の興味深い影響：調査が完了する前に企業が違反を発表する。1) 影響を受ける可能性のあるユーザー全員に発表し、責任を負わせる。2) 誰もが実際の影響について混乱し、多くの噂が飛び交う。3) 1ヶ月後、真実が公式報告書に記載される。」®