Facebookは、先週発見したデータ流出によってサードパーティーアプリが影響を受けた「形跡はなかった」と発表した。
ハッカーらは、昨年Facebookが不注意から混入させた3つの脆弱性の組み合わせを利用して、少なくとも5000万ユーザーのアクセストークンを盗み出した。その他4000万ユーザーもアタックを受けた可能性がある。Facebookはこれらのトークン(ユーザーのログイン状態を保つために使用される)を無効化し、ユーザーは強制的に同サイトに再ログインさせられた。
しかし、ログインにFacebookを利用しているサードパーティー製のアプリやサイト、サービス(Spotify、Tinder、Instagramなど)も同じく影響を受けた可能性があり、Facebookログインを使用するサービス各社は、ソーシャルネットワークの巨人に回答を求めていた。
「当社は、先週発見したアタック期間中にインストーあるいはログインされた全サードパーティーアプリのログを解析した」とFacebookのプロダクトマネジメント担当VP、Guy Rosenが ブログ記事に書いた。「調査の結果、アタッカーがFacebookログインを使っていずれかのアプリにアクセスした形跡は現時点で見つかっていない」。
「当社が提供している公式Facebook SDKを使用しているデベロッパーすべて——およびユーザーのアクセストークンの有効性を定期的にチェックしているデベロッパー——は、われわれがユーザーのアクセストークンをリセットした際に自動的に保護されている。
Rosenは、全デベロッパーがFacebookの開発ツールを使っているわけではないことを認識しており、そのために「各デベロッパーが自社アプリのユーザーが影響を受けたかどうかを識別し、ログアウトさせるためのツールを開発している」と語った。
Facebookはツールの提供時期については言及しなかった。TechCrunchは同社にコメントを求めており、回答があり次第続報の予定。
今回の不正侵入がヨーロッパで500万ユーザーに影響をあたえたことをFacebookは認めた。当地域のプライバシー保護法は、より厳格で制裁金も高額だ。
新たに制定された一般データ保護規則(GDPR)の下では、仮にFacebookがユーザーデータを保護する努力を怠っていたことがわかれば、欧州の規制機関はFacebookに最大16.3億ドル(前会計年度の全世界売上である407億ドルの4%)の罰金を科すことができる。
画像提供:Getty Images
[原文へ]
(翻訳:Nob Takahashi / facebook )