Facebookアプリから広告主に情報流出、ユーザー情報にアクセスされた恐れも
Symantecによると、Facebookのアプリケーションから情報が流出し、広告主などの第三者がユーザー情報などにアクセスできる状態になっていたという。
米Symantecは5月10日、Facebookのアプリケーションに存在していた問題が原因で、広告主などの第三者がFacebookユーザーのプロフィールにアクセスしたり、メッセージを投稿したりできてしまう状態になっていたことが分かったとブログで伝えた。同社の連絡を受けて、Facebookは既に問題を解決したとしている。
Symantecは、特定の状況下でFacebookのIFRAMEアプリケーションから広告主などの第三者へ「アクセストークン」が流出しているのを発見したという。このトークンを使えば、広告主などがユーザーのプロフィールや写真、チャットなどにアクセスしたり、個人情報を入手したりすることも可能だったとしている。
アクセストークンは、アプリケーションがユーザーの情報にアクセスするための「合鍵」のようなもので、ウォールへの投稿許可、友人のプロフィールへのアクセス許可といった機能が各トークンに個別に割り当てられている。
このトークンを流出させていたアプリケーションは、2011年4月の時点で約10万に上っていたとSymantecは推定する。ただし広告主などのほとんどは、ユーザー情報にアクセスできることに気付いていなかったとみられる。
Symantecの連絡を受けてFacebookも問題があったことを認め、トークン流出防止の措置を取ったという。しかしSymantecによれば、多数のトークンがまだログファイルやサードパーティーのサーバなどに残っていたり、広告主に利用されていたりする恐れもあるという。ユーザーがFacebookのパスワードを変更すれば、流出したアクセストークンは無効になるとしている。
関連記事
- Facebookに新たなプライバシー論争か アプリがユーザーの住所など入手可能に
- Facebook、プライバシーポリシーを改定へ――より平易で分かりやすい表現に
- Facebook、二要素認証や報告機能の拡張でセキュリティとプライバシーを強化
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.