裁判所の書類によると、フェイスブックは昨年、ハッカーが約2,900万のアカウントにアクセスすることを許した大規模なセキュリティ侵害につながるリスクについてスタッフに警告していたが、ユーザーには警告していなかったという。

リスクはシングルサインオンの使用にありました。これは、Facebookの認証情報を使ってサードパーティのアプリやウェブサイトにサインインできる方法です。この方法ではサードパーティのサービスがユーザーのログイン情報にアクセスすることはありませんが、ハッカーがアカウント内のプライベートコンテンツを閲覧するために悪用できるアクセストークンが生成されます。

ロイター通信は、集団訴訟で、フェイスブック社はシングルサインオン機能に内在するセキュリティリスクを認識しており、自社スタッフのプライバシーが保護されるよう措置を講じていたものの、ユーザーに対しては同様の措置を講じていなかったと主張していると報じている。

2018年のデータ漏洩をめぐり世界最大のソーシャルメディアネットワークであるFacebookを訴えているユーザーらは、Facebookが従業員を保護していたにもかかわらず、シングルサインオンツールに関連するリスクについて警告しなかったと主張している。木曜日の裁判所提出書類で明らかになった。[…]

「フェイスブックはアクセストークンの脆弱性を認識していたが、それを認識していたにもかかわらず何年も修正しなかった」と原告らはサンフランシスコの北カリフォルニア地区連邦地方裁判所に提出した書類の大幅に編集された部分で述べた。

「さらにひどいのは、Facebookは自社の従業員をセキュリティリスクから守るための措置を講じたが、大多数のユーザーについては措置を講じなかったことだ。」

アクセストークンによってハッカーがアカウントへの完全なアクセス権を得たわけではありませんが、「View As（友達として表示）」機能の欠陥により、本来Facebookの友達にのみ表示されるはずの情報を閲覧できてしまいました。「View As（友達として表示）」機能は、自分のFacebookプロフィールが他の人にどのように見えるかを確認できるように設計されています。

1,500万人については、ハッカーは名前とメールアドレス（または、携帯電話番号を使って登録した人の場合は名前と携帯電話番号）のみにアクセスできました。しかし、さらに1,400万人については、ハッカーはより多くのプロフィール情報とアクティビティを閲覧することができました。

これには、ユーザー名、性別、ロケール/言語、関係ステータス、宗教、出身地、自己申告の現在の都市、生年月日、Facebook へのアクセスに使用したデバイスの種類、学歴、職業、最後にチェックインした場所やタグ付けされた場所 10 件、ウェブサイト、フォローしている人物またはページ、最近の検索 15 件が含まれます。

Facebookは影響を受けた人全員に連絡を取り、自分の個人情報がハッキングされたかどうかを自分で確認できるオンラインツールも提供した。

シングルサインオンサービスの使用は、Appleのサービスを含め、常に避けるべきです。代わりに、使用するアプリ、ウェブサイト、サービスごとに、それぞれ異なる強力なパスワードを設定することをお勧めします。

havebin.com を Google ニュース フィードに追加します。