Facebook Stille Patches En Massiv Security Hole, Millions Potensielt Affected [Nyheter]
Facebook har bekreftet krav fra Symantec over millioner av lekkasje “tilgangsfunksjoner”. Disse tokens gjør det mulig for et program å få tilgang til personlig informasjon og gjøre endringer i profiler, i hovedsak å gi tredjeparter “ekstranøkkel” til profilinformasjonen din, fotografier, vegg og meldinger.
Det er ikke bekreftet om disse tredjepartene (for det meste annonsører) visste om sikkerhetshullet, selv om Facebook siden har fortalt Symantec at feilen er løst. Tilgang gitt via disse nøklene kunne ha blitt brukt til å minske brukernes personlige data, med bevis på at sikkerhetsfeilen kunne dateres tilbake til 2007 da Facebook-applikasjoner ble lansert.
Symantec-ansatt Nishant Doshi sa i et blogginnlegg:
“Vi estimerer at fra april 2011 var nær 100.000 søknader muliggjort denne lekkasjen. Vi anslår at i løpet av årene har hundretusenvis av applikasjoner utilsiktet lekket millioner av tilgangsfunksjoner til tredjeparter.”
Ikke helt Sony
Tilgangsmønstre gis når en bruker installerer et program og gir tjenestetilgang til hans eller hennes profilinformasjon. Vanligvis går tilgangsnøklene ut over tid, selv om mange applikasjoner ber om en tilgangsnøkkel som ikke endres før en bruker angir et nytt passord.
Til tross for Facebook ved hjelp av solide OAUTH2.0-godkjenningsmetoder, er en rekke eldre autentiseringsprogrammer fortsatt akseptert og i sin tur brukt av tusenvis av applikasjoner. Det er disse programmene, ved hjelp av utdaterte sikkerhetsmetoder som kan ha utilsiktet lekket informasjon til tredjeparter.
Nishant forklarer:
“Programmet bruker en omdirigering på klientsiden for å omdirigere brukeren til dialogboksen kjent søknadstillatelse. Denne indirekte lekkasjen kan skje hvis applikasjonen bruker et eldre Facebook API og har følgende utdaterte parametere, “return_session = 1” og “session_version = 3 ", som en del av viderekoblingskoden.”
Hvis disse parametrene ble brukt (bildet over), ville Facebook returnere en HTTP-forespørsel som inneholder tilgangstokener i nettadressen. Som en del av henvisningsskjemaet sendes denne nettadressen videre til tredjepartsannonsører, komplett med tilgangstoken (bildet nedenfor).
Brukere som er opptatt av at deres tilgangstaster har vært godt og virkelig lekket, bør endre passordene sine umiddelbart for å automatisk nullstille token.
Det var ingen nyheter om brudd på den offisielle Facebook-bloggen, men reviderte søknadsautentiseringsmetoder har siden blitt lagt ut på utviklerbloggen, og krever at alle nettsteder og applikasjoner skal bytte til OAUTH2.0.
Er du paranoid om Internett-sikkerhet? Har din mening om nåværende tilstand av Facebook og online sikkerhet generelt i kommentarene!
Bildekreditt: Symantec
Utforsk mer om: Facebook.