Hello, we are fossBytes.

fossBytesに8月27日(米国時間)に掲載された記事「Hacker Tells How He Could've Hacked Tons Of Facebook Accounts Easily」が、研究者らがFacebookのパスワードリセットの仕組みを利用して簡単にアカウント乗っ取りが可能であることを示したと伝えた。

Facebookではパスワードなどを忘れた場合にパスワードリセットを行うことで、ユーザーに対して新しいパスワードを設定するように促すことができる。ただし、このパスワードリセットは正規のユーザーでなくても利用できてしまう。研究者らは200万のユーザーアカウントに対してパスワードリセットを要求。パスワードリセットを受けたユーザーには登録されたメールアドレスに数字6桁で構成された確認コードが送付されてくるが、この確認コードの組み合わせは100万通りしか存在しない。そのため、ユーザーがパスワードリセットのメールが送られてきたことに気がついて処理をするまえに、確認コードを全組み合わせて試せば乗っ取りを許してしまうことになる。

この脆弱性はほかの似たような仕組みを採用したソーシャルネットワーク・サービスにも存在している可能性があり注意が必要。普段利用しているサービスが実際には安全に利用できているとは限らず、攻撃の対象となることもある。不審な点に気がついたら注意深く行動したり、最新のセキュリティ情報を集めたりするなど、日々の対策を取っておくことが推奨される。