Facebookの情報流出問題(こちらを参照)は、こちらの記事によると「シングルサインオン(Single sign-on)」の信頼性に関する課題を顕在化しました。
しかし、Facebookのアカウントでのログインを認めているアプリでは、Facebookで強制ログアウトされても継続的に使われている可能性が出てきました。アプリ側もFacebookでの強制ログアウトを認識する処置が取られているようですが、時間が掛かると思われので影響範囲が拡大するかも知れません。
今回のFacebookの情報流出は、「アクセストークン」といわれるものです。アクセストークンを取得する事で、毎回ログインしなくてもFacebookを同じデバイスで使い続ける事ができます。従って、全てのアカウントを強制ログアウトする事で、既に何らかの被害が発生しているかも知れないが(その報告はないという)、これ以上の波及はないと期待されました。
しかし、Facebookのアカウントでのログインを認めているアプリでは、Facebookで強制ログアウトされても継続的に使われている可能性が出てきました。アプリ側もFacebookでの強制ログアウトを認識する処置が取られているようですが、時間が掛かると思われので影響範囲が拡大するかも知れません。
アプリ側での問題も時間と共に(既に行われた不正は別にして)終息するでしょうが、GoogleやTwitterでのシングルサインオンへの信頼性に影響が出る可能性があります。ハッカー側としたら無数にあるアプリ側を個別に攻めなくても、特定のサービスを攻めれば良いかも知れないと気付いた事でしょう。
この記事へのコメント