米Symantecは5月10日、Facebookのアプリケーションに存在していた問題が原因で、広告主などの第三者がFacebookユーザーのプロフィールにアクセスしたり、メッセージを投稿したりできてしまう状態になっていたことが分かったとブログで伝えた。同社の連絡を受けて、Facebookは既に問題を解決したとしている。
Symantecは、特定の状況下でFacebookのIFRAMEアプリケーションから広告主などの第三者へ「アクセストークン」が流出しているのを発見したという。このトークンを使えば、広告主などがユーザーのプロフィールや写真、チャットなどにアクセスしたり、個人情報を入手したりすることも可能だったとしている。
アクセストークンは、アプリケーションがユーザーの情報にアクセスするための「合鍵」のようなもので、ウォールへの投稿許可、友人のプロフィールへのアクセス許可といった機能が各トークンに個別に割り当てられている。
このトークンを流出させていたアプリケーションは、2011年4月の時点で約10万に上っていたとSymantecは推定する。ただし広告主などのほとんどは、ユーザー情報にアクセスできることに気付いていなかったとみられる。
Symantecの連絡を受けてFacebookも問題があったことを認め、トークン流出防止の措置を取ったという。しかしSymantecによれば、多数のトークンがまだログファイルやサードパーティーのサーバなどに残っていたり、広告主に利用されていたりする恐れもあるという。ユーザーがFacebookのパスワードを変更すれば、流出したアクセストークンは無効になるとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR