Facebookは9月のセキュリティ侵害に関する最新情報を発表し、侵害の影響を受けたユーザーは当初の予想より2,000万人少ない3,000万人だったと報告するとともに、事件中に攻撃者がアクセスしたデータの種類を明らかにした。
ソーシャルネットワークが9月に提供した最初の通知では、攻撃者がユーザーのトークンを認証するために使用されるアクセストークンを取得できる脆弱性についてアドバイスしていたが、更新では、侵害が実際に影響を受けたのはわずか3,000万人であり、侵害の影響はグループ全体でほぼ半分に分かれているとアドバイスしている。
約1,500万人の名前と連絡先(電話番号やメールアドレスを含む)が攻撃者に公開されました。さらに、1,400万人については、プロフィールに記載されている膨大な量のデータにもアクセスできました。
追加データのリストには、ユーザー名、性別、ロケールと言語、関係ステータス、宗教、出身地、自己申告の現在の都市、生年月日、Facebook へのアクセスに使用したデバイスの種類、学歴、仕事、ユーザーがチェックインまたはタグ付けされた最後の 10 か所、Web サイトのアドレス、ユーザーがフォローしている人々またはページ、サービスでの最後の 15 件の検索が含まれます。
トークンが取得された残りの 100 万人のユーザーについては、攻撃者はアカウントにまったくアクセスしなかったようです。
Facebookが影響を受けるユーザーに送信するカスタマイズされたメッセージの例
Facebookは現在、懸念のあるユーザーに対し、サイトのヘルプセンターで影響を受けたかどうかを確認するよう呼びかけています。Facebookが特定した3,000万人のユーザーには、今後数日以内に、攻撃者がアクセスした可能性のある情報と、身を守るための方法を記載したカスタマイズされたメッセージが送信される予定です。
Facebookは、今回の攻撃はMessenger、Messenger Kids、Instagram、WhatsApp、Oculus、Workplace、Pages、決済、サードパーティ製アプリ、広告アカウント、開発者アカウントなど、同社の他のサービスには影響がなかったと述べている。また、Facebookは、攻撃者がFacebookをどのように利用していたか、また小規模な攻撃にも注意を払いながら、他の方法も調査していくとしており、FBI、米国連邦取引委員会(FTC)、アイルランドデータ保護委員会、その他の当局と引き続き協力していくとしている。
Facebookによると、攻撃者は2017年7月から2018年9月の間に存在したソーシャルネットワークのコードの脆弱性を悪用した。これは、ユーザーが自分のプロフィールが他の人にどのように見えるかを確認できる「View As」機能に影響を与えた「3つの異なるソフトウェアバグの複雑な相互作用」の結果だった。
このバグにより、攻撃者は Facebook のアクセス トークンを盗み、それを使って他のアカウントを乗っ取ることが可能になった。
攻撃自体は2018年9月14日に初めて発見されました。サイト上で異常なアクティビティの急増が見られ、調査の結果、9月25日に攻撃があったことが確認されました。脆弱性は2日以内に修正され、攻撃も停止され、「潜在的に感染した可能性のあるユーザーのアクセストークンを復元」することでユーザーアカウントが保護されました。Facebookは同時に「View As」機能も無効化しました。
Facebookは、攻撃者が既に複数のアカウントを掌握し、アカウント間を移動して、アカウントに接続している友人やその友人の友人のアクセストークンを取得する自動プロセスを構築したと推測しています。最終的に約40万人分のトークンが収集されたこのプロセスは、各アカウントのFacebookプロフィールと、投稿、友人リスト、グループメンバーシップ、最近のMessengerでの会話の連絡先、ユーザーがページ管理者となっているグループ内のメッセージの内容など、接続されたすべてのデータも読み込みました。
これら 40 万アカウントのサブセットは、前述の 3,000 万アカウントのアクセス トークンを盗むために使用されました。
