Annonse
![Facebook lapper rolig et enormt sikkerhetshull, millioner påvirket potensielt [Nyheter] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook har bekreftet påstander fra Symantec over flere millioner lekkede “tilgangstegn”. Disse kodene gjør det mulig for en applikasjon å få tilgang til personlig informasjon og gjøre endringer i profiler, i det vesentlige å gi tredjepart "reservnøkkelen" til din profilinformasjon, fotografier, vegg og meldinger.
Det er ikke bekreftet om disse tredjepartene (for det meste annonsører) visste om sikkerhetshullet, selv om Facebook siden har fortalt Symantec at feilen er løst. Tilgang gitt via disse nøklene kunne til og med blitt brukt til å gruve brukernes personopplysninger, med bevis på at sikkerhetsfeilen kan dateres tilbake til 2007 da Facebook-applikasjoner ble lansert.
Symantec-ansatt Nishant Doshi sa i et blogg innlegg:
“Vi anslår at fra og med april 2011 var det nær 100 000 søknader som muliggjorde denne lekkasjen. Vi anslår at hundre tusenvis av applikasjoner i løpet av årene kan utilsiktet ha lekket millioner av tilgangstegn til tredjepart.”
Ikke ganske Sony
Tilgangstokener gis når en bruker installerer en applikasjon og gir tjenesten tilgang til hans eller hennes profilinformasjon. Vanligvis utløper tilgangsnøkler over tid, selv om mange applikasjoner ber om en offline tilgangsnøkkel som ikke endres før en bruker angir et nytt passord.
Til tross for at Facebook bruker solide OAUTH2.0-godkjenningsmetoder, aksepteres fortsatt en rekke eldre autentiseringsordninger og brukes igjen av tusenvis av applikasjoner. Det er disse applikasjonene som bruker utdaterte sikkerhetsmetoder som utilsiktet kan ha lekket informasjon til tredjepart.
Nishant forklarer:
“Applikasjonen bruker en viderekobling på klientsiden for å omdirigere brukeren til den kjente dialogboksen for tillatelse av applikasjoner. Denne indirekte lekkasjen kan skje hvis applikasjonen bruker en gammel Facebook API og har følgende utdaterte parametere, "return_session = 1" og "session_version = 3 ″, som en del av omdirigeringskoden."
![Facebook Quietly Patches A Massive Security Hole, Millions Potentially Affected [News] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Skulle disse parametrene blitt brukt (bildet over), ville Facebook returnert en HTTP-forespørsel som inneholder tilgangstegn i URL-en. Som en del av henvisningsskjemaet blir denne URLen videre gitt til tredjeparts annonsører, komplett med tilgangstoken (bildet under).
![Facebook Quietly Patches A Massive Security Hole, Millions Potentially Affected [News] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Brukere som er bekymret for at tilgangsnøklene deres har vært bra og virkelig lekket, bør endre passordene sine umiddelbart for automatisk å tilbakestille tokenet.
Det var ingen nyheter om bruddet på den offisielle Facebook-bloggen, selv om reviderte søknadsgodkjenningsmetoder har gjort det siden blitt lagt ut på utviklerbloggen, som krever at alle nettsteder og applikasjoner bytter til OAUTH2.0.
Er du paranoid om Internett-sikkerhet? Si din mening om dagens status på Facebook og online sikkerhet generelt i kommentarene!
Bildekreditt: Symantec
Tim er en frilansskribent som bor i Melbourne, Australia. Du kan følge ham på Twitter.
