Facebookはユーザーのデータに「スペアキーを配布」した

セキュリティ企業シマンテックは、フェイスブックが数十万のアプリケーションでエンドユーザーデータを第三者や広告主に公開したままにしていると非難した。

セキュリティ会社によると、この問題はFacebookアプリケーション内でスペアキーのように機能する「アクセストークン」に起因しており、この問題は「長年にわたって」検出されなかったという。

Nishant Doshi氏はシマンテックの公式ブログで、「第三者、特に広告主が、プロフィール、写真、チャットを含むFacebookユーザーのアカウントに誤ってアクセスし、メッセージを投稿したり個人情報をマイニングしたりすることもできた」と認めたものの、シマンテックの公式ブログで述べた。第三者がセキュリティ上の欠陥を利用したという証拠はないと述べた。

2007 年に Facebook アプリケーションがリリースされて以来、すでに漏洩したアクセス トークンの数を見積もる良い方法はありません。

「Facebook iFrame アプリケーションが、広告主や分析プラットフォームなどのサードパーティにアクセス トークンを誤って漏洩してしまいました。私たちは、長年にわたり、何十万ものアプリケーションが何百万ものアクセス トークンを誤って第三者に漏洩させた可能性があると推定しています。」

Facebookはシマンテックの報告書には「不正確さ」が含まれていると述べたが、同ソーシャルネットワークはその後その穴は塞がれており、第三者がアプリケーションデータの強制捜査への公開招待状を利用したとは考えていないと述べた。

フェイスブックの広報担当マロリー・ルシッチ氏はロイターに対し、「徹底的な調査を行ったが、ユーザーの個人情報が無許可の第三者と共有されたというこの問題の証拠は見つからなかった」とロイターに声明で述べた。

しかし、シマンテックによれば、データスクレイパーやその他の個人情報企業は、すでに何年にもわたって漏洩したトークンを依然として使用する可能性があるという。

「これらのトークンの多くがサードパーティサーバーのログファイルにまだ残っているか、広告主によってまだ積極的に使用されている可能性があることを懸念しています」とドーシ氏は述べた。

「懸念のある Facebook ユーザーは、Facebook のパスワードを変更して、漏洩したアクセス トークンを無効にすることができます。 2007 年に Facebook アプリケーションがリリースされて以来、すでに漏洩したアクセス トークンの数を見積もる良い方法はありません。」

シメンテックは、アクセストークンは「ユーザーがFacebookアプリケーションに付与する予備キーのようなもの」だと述べた。アプリケーションはこれらのトークンまたはキーを使用して、ユーザーに代わって特定のアクションを実行したり、ユーザーのプロフィールにアクセスしたりできると同社は述べた。