Reklame
![Facebook laver roligt et massivt sikkerhedshul, millioner påvirket potentielt [Nyheder] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook har bekræftet påstande fra Symantec over millioner af lækkede “adgangstokenser”. Disse tokens gør det muligt for en applikation at få adgang til personlige oplysninger og foretage ændringer i profiler, i det væsentlige at give tredjepart "reservenøglen" til dine profiloplysninger, fotografier, væg og Beskeder.
Det bekræftes ikke, om disse tredjeparter (for det meste annoncører) vidste om sikkerhedshullet, skønt Facebook siden har fortalt Symantec, at fejlen er rettet. Adgang, der blev givet via disse nøgler, kunne endda have været brugt til at mines brugeres personlige data med bevis for, at sikkerhedsfejlen kan dateres tilbage til 2007, da Facebook-applikationer blev lanceret.
Symantec-medarbejder Nishant Doshi sagde i en blogindlæg:
“Vi estimerer, at fra og med april 2011 aktiverede næsten 100.000 applikationer denne lækage. Vi estimerer, at hundreder af tusinder af applikationer i årenes løb har utilsigtet lækket millioner af adgangstoketter til tredjepart.”
Ikke ret Sony
Adgangstokens tildeles, når en bruger installerer en applikation og giver tjenesten adgang til hans eller hendes profiloplysninger. Normalt udløber adgangstaster over tid, selvom mange applikationer anmoder om en offline adgangsnøgle, som ikke ændres, før en bruger indstiller en ny adgangskode.
På trods af at Facebook bruger solide OAUTH2.0-godkendelsesmetoder, accepteres et antal ældre godkendelsesordninger stadig og anvendes igen af tusinder af applikationer. Det er disse applikationer, der bruger forældede sikkerhedsmetoder, der kan have utilsigtet lækket information til tredjepart.
Nishant forklarer:
”Programmet bruger en omdirigering på klientsiden til at omdirigere brugeren til den velkendte dialogboks til applikationstilladelse. Denne indirekte lækage kan ske, hvis applikationen bruger en ældre Facebook API og har følgende forældede parametre, "return_session = 1" og "session_version = 3 ″, som en del af deres omdirigeringskode."
![Facebook laver roligt et massivt sikkerhedshul, millioner påvirkede [Nyheder] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Hvis disse parametre var blevet brugt (afbildet ovenfor), ville Facebook returnere en HTTP-anmodning, der indeholder adgangstegn i URL'en. Som en del af henvisningsskemaet overføres denne URL til tredjepart-annoncører komplet med adgangstoken (afbildet nedenfor).
![Facebook laver roligt et stort sikkerhedshul, millioner påvirkede [Nyheder] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Brugere, der er bekymrede for, at deres adgangsnøgler er blevet godt og virkelig lækket, skal straks ændre deres adgangskoder for automatisk at nulstille token.
Der var ingen nyheder om bruddet på den officielle Facebook-blog, selvom reviderede applikationsgodkendelsesmetoder siden har været blevet indsendt på udviklerens blog, der kræver, at alle websteder og applikationer skifter til OAUTH2.0.
Er du paranoid over Internetsikkerhed? Fortæl om den aktuelle tilstand af Facebook og online sikkerhed generelt i kommentarerne!
Billedkredit: Symantec
Tim er en freelance skribent, der bor i Melbourne, Australien. Du kan følge ham på Twitter.