ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Facebookに他人の写真を削除できる脆弱性、研究者がザッカーバーグ氏の写真で実証

» 2013年09月03日 07時21分 公開
[鈴木聖子,ITmedia]

 Facebookに他人の写真を勝手に削除できてしまう脆弱性が見つかり、報告を受けて同社がこの問題を修正した。発見者のインドのエンジニアが自身のブログで明らかにした。

 ブログによると、発見者のアルル・クマール氏は「倫理的ハッキングに情熱を持つエレクトロニクス&コミュニケーションエンジニア」。脆弱性は、ユーザーからの報告に対するFacebookの対応状況をチェックできる「Support Dashboard」のモバイル版に存在していたという。

 Support Dashboardには、ユーザーが写真削除リクエストを送信するとFacebookのサーバが自動的に写真削除リンクを生成して持ち主に送信し、持ち主がこのリンクをクリックして削除できるようにする機能がある。この仕組みを悪用して、他人の写真の削除リンクを自分あてに送信させることが可能だったという。

研究者が公開した手順(クマール氏のブログより)

 しかし、クマール氏が最初にFacebookに問題を報告した時点で、Facebookからは「これは脆弱性ではありません」という返信が返ってきた。そこで同氏はデモ用のアカウントで、マーク・ザッカーバーグ最高経営責任者(CEO)のアルバムにあった写真を使って脆弱性を実証するビデオを作成。Facebookはこれで脆弱性の存在を確認して修正し、クマール氏に賞金1万2500ドルを贈呈した。

 Facebookからのメールには、「あなたのビデオは非常によくできていて助けになりました。全てのバグ報告にこのようなビデオが付いていればいいのに」という一文が添えられていた。

 Facebookの脆弱性を巡っては、他人のタイムラインにコメントを投稿できてしまう問題を見つけたパレスチナの研究者が、ザッカーバーグ氏のタイムラインに投稿して対応を促す出来事もあった。こちらの件に関しては、Facebookは規定違反を理由に賞金を贈呈していない。

Copyright © ITmedia, Inc. All Rights Reserved.