米Facebookは10月2日(現地時間)、9月28日に発表したユーザーのアクセストークン流出に関する調査の経過報告として、攻撃者が入手したFacebookログインを使ってサードパーティー製アプリにアクセスしたという証拠は見つからなかったと発表した。
同社は28日、セキュリティの脆弱性を突かれてユーザーのアクセストークンが不正に入手され、約5000万人のアカウントに影響があったと発表。影響がありそうな約4000万人と合わせて約9000万人のアカウントのアクセストークンをリセットした。
今回の発表は、Facebookのアカウントでサードパーティー製アプリにログインする「シングルサインオン」機能についてのものだ。Facebookの公式SDKを正しく使っているサービスに対する攻撃の証拠は見つからなかった。例えばInstagramやSpotify、Airbnbなどがこの機能を採用している。
公式SDKを正しく使わずにシングルサインオン機能を取り込んでいるサービスについては確認できないため、サービスの開発者向けにユーザーが攻撃の影響を受けていないかどうか手動で確認するためのツールを構築しているという。
Facebook本体へのログインについては引き続き調査中らしく、発表文では特に言及していない。攻撃者についても説明はない。プロダクトマネジメント担当副社長のガイ・ローゼン氏は「この攻撃が起こったことを申し訳なく思っています。調査で判明したことは逐一報告していきます」としている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR