Facebookアプリから広告主に情報流出、ユーザー情報にアクセスされた恐れも
Symantecによると、Facebookのアプリケーションから情報が流出し、広告主などの第三者がユーザー情報などにアクセスできる状態になっていたという。
米Symantecは5月10日、Facebookのアプリケーションに存在していた問題が原因で、広告主などの第三者がFacebookユーザーのプロフィールにアクセスしたり、メッセージを投稿したりできてしまう状態になっていたことが分かったとブログで伝えた。同社の連絡を受けて、Facebookは既に問題を解決したとしている。
Symantecは、特定の状況下でFacebookのIFRAMEアプリケーションから広告主などの第三者へ「アクセストークン」が流出しているのを発見したという。このトークンを使えば、広告主などがユーザーのプロフィールや写真、チャットなどにアクセスしたり、個人情報を入手したりすることも可能だったとしている。
アクセストークンは、アプリケーションがユーザーの情報にアクセスするための「合鍵」のようなもので、ウォールへの投稿許可、友人のプロフィールへのアクセス許可といった機能が各トークンに個別に割り当てられている。
このトークンを流出させていたアプリケーションは、2011年4月の時点で約10万に上っていたとSymantecは推定する。ただし広告主などのほとんどは、ユーザー情報にアクセスできることに気付いていなかったとみられる。
Symantecの連絡を受けてFacebookも問題があったことを認め、トークン流出防止の措置を取ったという。しかしSymantecによれば、多数のトークンがまだログファイルやサードパーティーのサーバなどに残っていたり、広告主に利用されていたりする恐れもあるという。ユーザーがFacebookのパスワードを変更すれば、流出したアクセストークンは無効になるとしている。
関連記事
- Facebookに新たなプライバシー論争か アプリがユーザーの住所など入手可能に
- Facebook、プライバシーポリシーを改定へ――より平易で分かりやすい表現に
- Facebook、二要素認証や報告機能の拡張でセキュリティとプライバシーを強化
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。