Facebook Quietly Patches En massiv säkerhetsplats, Millions Potentiellt påverkad [Nyheter]
Facebook har bekräftat påståenden från Symantec över miljontals läckta “access tokens”. Dessa tokens gör det möjligt för en ansökan att få tillgång till personlig information och göra ändringar i profiler, vilket i huvudsak ger tredje part “extra nyckel” till din profilinformation, fotografier, vägg och meddelanden.
Det bekräftas inte om dessa tredje parter (främst annonsörer) visste om säkerhetshålet, men Facebook har sedan berättat Symantec att felet har åtgärdats. Åtkomst som beviljats via dessa nycklar kunde till och med ha använts för att ministernas personuppgifter, med bevis på att säkerhetsfelet kunde komma tillbaka till 2007 när Facebook-applikationer lanserades.
Symantec-anställd Nishant Doshi sa i ett blogginlägg:
“Vi uppskattar att från och med april 2011 var nära 100 000 ansökningar möjliga för detta läckage. Vi uppskattar att hundratusentals program genom åren kan ha av misstag läckt miljontals access tokens till tredje part.”
Inte helt Sony
Access tokens beviljas när en användare installerar ett program och ger tjänsten tillgång till sin eller hennes profilinformation. Vanligtvis går accessnycklarna över tiden, men många applikationer begär en offline-nyckel som inte ändras förrän en användare ställer in ett nytt lösenord.
Trots Facebook använder du solida OAUTH2.0-autentiseringsmetoder, fortfarande ett antal äldre autentiseringssystem accepteras och används i sin tur av tusentals applikationer. Det är dessa applikationer, som använder föråldrade säkerhetsmetoder som kan ha läckt information till tredje part av misstag.
Nishant förklarar:
“Applikationen använder en omdirigering på klientsidan för omdirigering av användaren till dialogrutan för behörig behörighet för ansökan. Det här indirekta läckaget kan hända om applikationen använder ett äldre Facebook API och har följande avkodade parametrar, “return_session = 1” och “session_version = 3 ", som en del av deras omdirigeringskod.”
Om dessa parametrar har använts (bilden ovan) returnerar Facebook en HTTP-begäran som innehåller åtkomsttoken i webbadressen. Som en del av referralsystemet vidarebefordras denna webbadress till tredje parts annonsörer, komplett med access token (bilden nedan).
Användare som är oroade över att deras åtkomstnycklar har blivit bra och verkligen läckt bör ändra sina lösenord omedelbart för att automatiskt återställa token.
Det fanns inga nyheter om överträdelsen på den officiella Facebook-bloggen, men reviderad programautentiseringsmetod har sedan länge publicerats på utvecklarens blogg, vilket kräver att alla webbplatser och applikationer ska byta till OAUTH2.0.
Är du paranoid om Internet-säkerhet? Har din mening om det aktuella läget för Facebook och online-säkerhet i allmänhet i kommentarerna!
Bildkredit: Symantec
Utforska mer om: Facebook.