Facebook、ユーザーのいいね!や興味分野情報を取り出されるバグを修正

Facebookは、ウェブサイトがユーザーのFacebookプロフィール(いいね!や興味分野など)を本人に無断で取り出せるバグを修正した。

これはImprevaの研究者Ron Masasが発見したもので、Facebookの検索結果がクロスサイトリクエストフォージェリ(CSRF)攻撃に正しく対応していなかった結果だ。言い換えると、ウェブサイトはユーザーがブラウザーの別のタブでログインしているFacebookのプロフィールから一部のデータを引き出すことができる。

Masasは、悪意のあるウェブサイトがIFRAME(ウェブサイト内にウェブサイトを入れ子にするために使われる)を使ってプロフィール情報を抜き取るデモを見せた。

「これはドメインを超えて情報をアクセスすることを許すもので、ユーザーが特定のウェブサイトに行くと、アタッカーはFacebookを開いてそのユーザーと友達に関する情報を収集できることを意味している」

悪意のあるウェブサイトが新しいタブでFacebookの検索画面を開き、YesかNoを返すクエリ(たとえばそのユーザーが「いいね!」したかどうか)を実行した際、もっと複雑な結果、たとえばユーザーの友達の中で特定の名前の人や、特定のキーワードを含む投稿、さらには特定地域や都市に住む友人の名前などを返すことがある、とMasasは言う。

「興味分野は友達にしか公開しないセキュリティー設定になっているのに、ユーザーや友達の興味分野が危険に晒されることがある」と彼は言った。

Masasがバグを利用して侵入するところを見せる概念実証の結果(画像提供:Imperva/supplied)

公平を期して書いておくと、これはFacebook特有の問題ではなく、重大な秘密でもない。しかし、アクセスされるデータの性質を考えると、広告主にとって「魅力ある」データかもしれない、とMasasは説明した。

Impervaはこのバグを5月に通報した。後日FacebookはCSRF対策を施し、2つのバグ発見の懸賞金として8000ドルを払った。

FacebookはTechCrunchに、悪用された記録はないと伝えた。

「当社の懸賞プログラムに送られたレポートに感謝している」とFacebook広報のMargarita Aolotovaが声明で言った。「この振る舞いはFacebook独自のものではないため、ブラウザー開発者や関連するウェブ標準グループに対して、他のウェブアプリケーションでこの種の問題が起きるのを防ぐ手段をとることを推奨した」

これはFacebookのユーザーデータが危機に晒された一連のデータ漏洩やバグの最新事例だ。今年起きたCambridge Analyticaスキャンダルでは、政治データ会社が選挙属性の入ったプロフィール8700万人分を取り出した。そこにはユーザーの「いいね!」や興味分野も含まれていた。

数カ月後ソーシャルメディアの巨人は、複数のバグが原因でユーザーのアカウントトークンをハッカーに盗まれたことを認めた。

【関連記事】

Facebookよ、本気なのか?

画像クレジット:Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。