この脆弱性は自分のページが他の人からどのように見えるかを確認する「ビュー・アズ(view as)」機能に潜んでいた。フェイスブックによると、ハッカーらは脆弱性を利用して、5000万人分の「アクセストークン」を盗み出したという。かつて米ヤフーがハッキング被害によって10億人以上の情報流出を起こしたが、その攻撃もアクセストークンを盗み出したものだった。
アクセストークンについて、フェイスブックは「パスワードの再入力なしで、ログイン状態をキープ可能にするためのもので、デジタルキーと同じ役割を果たすもの」と述べている。非常に便利なキーではあるが、これが第三者の手に渡れば、そのアカウントを意のままに操ることが可能になる。
数千万件のアクセストークンが盗み出されたことで、利用者がフェイスブック認証によって他のサイトを利用している場合、そのサイトも被害を受ける可能性がある。
フェイスブックの広報は、不正アクセスの拡大を防ぐため「ハッキングされたアカウントからの、サードパーティのサイトへのアクセスを無効化した」と述べた。これまでのところ、フェイスブックは迅速な対処を行っている模様だ。
今回のフェイスブックの発表のタイミングついて、興味深いニュースも浮上している。28日の早朝「Business Insider」等の一部メディアが、台湾人のハッカーがマーク・ザッカーバーグのアカウントを削除しようとしているとの記事を公開した。彼はその模様をストリーミング中継する計画だとも報じられた。
その後、当日の午後3時になってハッカーはその計画を中止した。フェイスブックは台湾人ハッカーの件について何も言及していない。しかし、フェイスブックのアナウンスの直前に、ハッカーが計画中止を宣言していたのは非常に興味深い。
フェイスブックの調査は現在進行中であり、実際に不正アクセスによるデータ流出被害にあったアカウントがあるのかどうかは現状では不明だ。
