Publicitate
![Facebook Patch Quietly Un masiv gaură de securitate, milioane de persoane potențial afectate [Știri] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook a confirmat afirmațiile formulate de Symantec asupra a milioane de „jetoane de acces” scurse. Aceste jetoane permit unei aplicații să acceseze informații personale și să facă modificări la profiluri, oferind în mod esențial terților „cheia de rezervă” informațiilor, fotografiilor, peretelui și profilului tău mesaje.
Nu este confirmat dacă acești terți (în mare parte agenți de publicitate) știau despre gaura de securitate, deși Facebook a spus de atunci Symantec că defectul a fost remediat. Accesul acordat prin aceste chei ar fi putut fi folosit chiar și pentru datele personale ale utilizatorilor minei, cu dovezi că defectele de securitate ar putea fi datează din 2007, la lansarea aplicațiilor Facebook.
Angajatul Symantec, Nishant Doshi, a declarat într-un postare pe blog:
“Estimăm că din aprilie 2011, aproape 100.000 de aplicații permiteau această scurgere. Estimăm că, de-a lungul anilor, sute de mii de aplicații ar fi putut scăpa din neatenție milioane de jetoane de acces către terți.”
Nu destul de Sony
Jetoanele de acces sunt acordate atunci când un utilizator instalează o aplicație și acordă accesul serviciului la informațiile sale de profil. De obicei, tastele de acces expiră în timp, deși multe aplicații solicită o cheie de acces offline care nu se va schimba până când un utilizator nu va seta o nouă parolă.
În ciuda faptului că Facebook folosește metode solide de autentificare OAUTH2.0, o serie de scheme de autentificare mai vechi sunt încă acceptate și la rândul lor folosite de mii de aplicații. Este vorba despre aceste aplicații, folosind metode de securitate învechite, care ar putea să fi scurs din neatenție informații către terți.
Nishant explică:
„Aplicația folosește o redirecționare din partea clientului pentru redirecționarea utilizatorului către caseta de dialog pentru permisiunea familiară a aplicației. Această scurgere indirectă s-ar putea întâmpla dacă aplicația utilizează o API-ul Facebook moștenită și are următorii parametri depărtați, „return_session = 1” și „session_version = 3 ″, ca parte a codului lor de redirecționare.”
![Facebook Patch Quietly Un masiv gaură de securitate, milioane de persoane potențial afectate [Știri] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
În cazul în care acești parametri au fost folosiți (ilustrat mai sus), Facebook ar returna o solicitare HTTP care conține jetoane de acces în adresa URL. Ca parte a schemei de trimitere, această adresă URL este transmisă la rândul lor către agenții de publicitate terți, completată cu simbolul de acces (ilustrat mai jos).
![Facebook Patch Quietly Un masiv gaură de securitate, milioane de persoane potențial afectate [Știri] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Utilizatorii care sunt îngrijorați de faptul că cheile lor de acces au fost bine filtrate și ar trebui să își schimbe parolele imediat pentru a reseta automat tokenul.
Pe blogul oficial de Facebook nu a existat nicio veste despre încălcarea, deși metodele de autentificare a aplicațiilor revizuite au existat de atunci a fost postat pe blogul dezvoltatorilor, care solicită ca toate site-urile și aplicațiile să treacă la OAUTH2.0.
Ești paranoic despre securitatea Internetului? Spuneți-vă despre starea actuală a Facebook și securitatea online, în general, în comentarii!
Credit imagine: Symantec
Tim este un scriitor independent care locuiește în Melbourne, Australia. Îl poți urma pe Twitter.