fossBytesに7月21日(米国時間)に掲載された記事「Your Facebook Account Can Be Easily Hacked Using Your Old Phone Number ? Here’s How - fossBytes」が、電話番号を使うことで簡単にアカウントハックが可能だと指摘した。Facebookはこの問題については認識しているとしながら、バグバウンティーの対象としては使わないと説明している。

Facebookは同社のサービスを利用するにあたって、アカウントと電話番号をひもづけることを推奨している。この電話番号は、パスワードを忘れるなどしてアクセスできなくなった場合に、パスワードをリセットするなどの用途で利用できる。記事では、この機能を悪用して他人のFacebookアカウントを乗っ取る方法が説明されている。

古くなった電話番号はいずれ別の誰かに割り当てられることがある。さらに、サービスを提供している会社によってはSIMカード購入後に任意のタイミングで少額の支払いで電話番号を変更可能なものもある。こうした仕組みを悪用して、誰かが使っていたと見られる電話番号を見つけ出してFacebookのパスワードリセット要求を出せば、そのアカウントを簡単に乗っ取ることが可能となる。

こうした乗っ取り手法に対応するには、電話番号が変わった時はすぐに設定を変更して古い電話番号を削除することが必要になる。古い設定を残したままにしておくと、こうした乗っ取りを受ける可能性が高くなるほか、悪意はなくても偶然新たに番号が割り振られたユーザーがリセット通知を受け取るなどの問題が発生する可能性がある。