9月19日(米国時間)、Threatpostに掲載された記事「Facebook Fixes Vulnerability That Led to Account Takeover, Pays Researcher $16K|Threatpost|The first stop for security news」が、Facebookがアカウント乗っ取りにつながる脆弱性を修正したと伝えた。Facebookは、この脆弱性を発見した研究者に対して1万6000米ドルの報奨金を支払ったと説明がある。

今回、脆弱性を発見したのはMES College of Engineeringのセキュリティ研究者であるArun Sureshkumar氏。これは、ダイレクトオブジェクトリファレンスの脆弱性が分類される不具合で、ID番号などを変更することで本来であれば認証が必要になるリソースへのアクセスが可能になり、データベースなどの内容を変更できてしまうと説明がある。

脆弱性のより詳しい内容はArun Sureshkumar氏のブログ「Facebook Page Takeover - Zero Day Vulnerability」に説明が掲載されているほか、今月末に開催される0SECCONで詳細が発表される見通し。

主要ベンダー各社は自社のサービスのセキュリティを強化する目的で各種バグバウンティプログラムやセキュリティハックイベントの開催などを実施している。こうした取り組みでは、脆弱性を発見したユーザーには報奨金が贈られることになっており、Facebookはセキュリティ対策を実施したのちに脆弱性の情報を公開している。