【外部リンク】
https://www.facebook.com/help/securitynotice
An important update about Facebook's recent security incident
We previously announced a security incident on Facebook and want to provide an update on our investigation. We have now determined that attackers used access tokens to gain unauthorized access to account information from approximately 30 million Facebook accounts. We're very sorry this happened. Your privacy is incredibly important to us, and we want to update you on what we've learned from our ongoing investigation, including which Facebook accounts are impacted, what information was accessed and what Facebook users can do about this.
私たちは以前にFacebook上でのセキュリティ事件を発表し、調査の最新情報を提供したいと考えていました。私たちは今、攻撃者が約3,000万のFacebookアカウントからのアカウント情報への不正アクセスを得るためにアクセストークンを使用したと判断しました。これは非常に残念です。あなたのプライバシーは私たちにとって非常に重要です。Facebookアカウントに影響を与えた情報、アクセスされた情報、Facebookのユーザーがこれについて行うことができる情報など、進行中の調査から学んだ内容を更新したいと考えています。
【外部リンク】
https://newsroom.fb.com/news/2018/10/update-on-security-issue/
October 12, 2018
An Update on the Security Issue
By Guy Rosen, VP of Product Management
We have been working around the clock to investigate the security issue we discovered and fixed two weeks ago so we can help people understand what information the attackers may have accessed. Today, we’re sharing details about the attack we’ve found that exploited this vulnerability. We have not ruled out the possibility of smaller-scale attacks, which we’re continuing to investigate.
As we’ve said, the attackers exploited a vulnerability in Facebook’s code that existed between July 2017 and September 2018. The vulnerability was the result of a complex interaction of three distinct software bugs and it impacted “View As,” a feature that lets people see what their own profile looks like to someone else. It allowed attackers to steal Facebook access tokens, which they could then use to take over people’s accounts. Access tokens are the equivalent of digital keys that keep people logged in to Facebook so they don’t need to re-enter their password every time they use the app.
2018年10月12日
セキュリティ問題のアップデート
することによりガイローゼン、製品管理担当副社長
2週間前に発見して修正したセキュリティの問題を調査するために、私たちは毎日取り組んできました。攻撃者がどのような情報にアクセスしたかを人々が理解できるように支援します。今日、私たちはこの脆弱性を悪用した攻撃の詳細を共有しています。私たちは調査を続けている小規模な攻撃の可能性を否定していません。
前述のように、攻撃者は、2017年7月から2018年9月の間に存在していたFacebookコードの脆弱性を悪用しました。この脆弱性は、3つの異なるソフトウェアバグの複雑な相互作用の結果であり、 " View As "自分のプロフィールが他の人にどのように見えるかを見てください。これにより、攻撃者はFacebookのアクセストークンを盗み、それを使って人々のアカウントを引き継ぐことができました。アクセストークンは、ユーザーがFacebookにログインしたままにしておくことができるように、アプリを使用するたびにパスワードを再入力する必要がないデジタルキーと同等です。
この脆弱性を悪用した攻撃の発見方法は次のとおりです。2018年9月14日に始まった珍しい活動の急増を見て、調査を開始しました。9月25日に、これは実際に攻撃であり、脆弱性を特定したと判断しました。2日以内に、潜在的に暴露された人々のアクセストークンをリセットして、脆弱性をクローズし、攻撃を停止し、人々のアカウントを保護しました。予防措置として、「View As」もオフにしました。FBIと協力しています.FBIは積極的に調査しており、誰がこの攻撃の背後にあるのかを議論しないように頼んでいます。
私たちは、当初思っていたよりも影響を受けた人が少なくなったことを知っています。私たちが信じていたアクセストークンの影響を受けた5,000万人のうち、約3,000万人が実際にトークンを盗まれました。それが起こった方法は次のとおりです:
