Facebookは、ウェブサイトがユーザーのFacebookプロフィール(いいね!や興味分野など)を本人に無断で取り出せるバグを修正した。
これはImprevaの研究者Ron Masasが発見したもので、Facebookの検索結果がクロスサイトリクエストフォージェリ(CSRF)攻撃に正しく対応していなかった結果だ。言い換えると、ウェブサイトはユーザーがブラウザーの別のタブでログインしているFacebookのプロフィールから一部のデータを引き出すことができる。
Masasは、悪意のあるウェブサイトがIFRAME(ウェブサイト内にウェブサイトを入れ子にするために使われる)を使ってプロフィール情報を抜き取るデモを見せた。
「これはドメインを超えて情報をアクセスすることを許すもので、ユーザーが特定のウェブサイトに行くと、アタッカーはFacebookを開いてそのユーザーと友達に関する情報を収集できることを意味している」
悪意のあるウェブサイトが新しいタブでFacebookの検索画面を開き、YesかNoを返すクエリ(たとえばそのユーザーが「いいね!」したかどうか)を実行した際、もっと複雑な結果、たとえばユーザーの友達の中で特定の名前の人や、特定のキーワードを含む投稿、さらには特定地域や都市に住む友人の名前などを返すことがある、とMasasは言う。
「興味分野は友達にしか公開しないセキュリティー設定になっているのに、ユーザーや友達の興味分野が危険に晒されることがある」と彼は言った。
公平を期して書いておくと、これはFacebook特有の問題ではなく、重大な秘密でもない。しかし、アクセスされるデータの性質を考えると、広告主にとって「魅力ある」データかもしれない、とMasasは説明した。
Impervaはこのバグを5月に通報した。後日FacebookはCSRF対策を施し、2つのバグ発見の懸賞金として8000ドルを払った。
FacebookはTechCrunchに、悪用された記録はないと伝えた。
「当社の懸賞プログラムに送られたレポートに感謝している」とFacebook広報のMargarita Aolotovaが声明で言った。「この振る舞いはFacebook独自のものではないため、ブラウザー開発者や関連するウェブ標準グループに対して、他のウェブアプリケーションでこの種の問題が起きるのを防ぐ手段をとることを推奨した」
これはFacebookのユーザーデータが危機に晒された一連のデータ漏洩やバグの最新事例だ。今年起きたCambridge Analyticaスキャンダルでは、政治データ会社が選挙属性の入ったプロフィール8700万人分を取り出した。そこにはユーザーの「いいね!」や興味分野も含まれていた。
数カ月後ソーシャルメディアの巨人は、複数のバグが原因でユーザーのアカウントトークンをハッカーに盗まれたことを認めた。
【関連記事】