つい最近、すべてのFacebook上のアカウントを乗っ取れる方法を発見したハッカーがいたそうです。

フェイスブックであらゆるアカウントを乗っ取れる脆弱性が発見される（ギズモード）

その方法は、上記ギズモードが伝えたところによると

パスワード再設定手順に開いた穴を突くものでした。フェイスブックでパスワードを忘れて再設定をリクエストすると、テキストメッセージかメールで6ケタの本人確認コードが送られてきて、それを使ってパスワード再設定手続きをします。そのとき、コード入力を一定回数以上間違えると通常はロックがかかってしまいます。これは、なりすまし犯があらゆる数字の組み合わせを試すことでアカウントを乗っ取るのを防ぐための「レート・リミッティング」という手法です。ちなみに、あらゆる数字や文字列の組み合わせを試してパスワード認証を破ろうとする行為は「ブルートフォース」と言います。問題は、beta.facebook.comなどフェイスブックのベータサイトでレート・リミッティングが外れていたことです。

 

ベータサイトとはゆえ比較的簡単に破れてしまうセキュリティホールだったわけです。

おそらく最初にこれを発見したAnand Prakashさんというインドの方は、それをFacebook Bug Bounty （バグ報奨金プログラム）に直接報告しました。

https://www.facebook.com/BugBounty

その結果速やかに解決され、Anand Prakashさんは1万5000ドル（約170万円）の報奨金が支払われたとのことです。

今や、ビジネスでも大いに活用されているFacebookです。今回のセキュリティホールが悪用された時のことを思うとぞっとします。はじめの発見者がAnand Prakashのようなホワイトハッカーでよかったですね。