Уязвимость в Facebook много лет раскрывала данные пользователей

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 11 май 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Facebook сделал возможным доступ к миллионам пользовательских фотографий, профилей и другой личной информации из-за давно существовавшего бага, который перезаписывает индивидуальные настройки приватности, сообщили исследователи компании Symantec.

    Уязвимость, которая по оценкам исследователей затронула сотни тысяч приложений, выставила на всеобщее обозрение пользовательские токены, которые стали доступны для рекламодателей и других людей. Токены служат в качестве запасного набора ключей, который приложения Facebook используют для выполнения определенных действий от лица пользователя, таких как публикация сообщений на стене Facebook или отправка RSVP ответов на приглашения. На протяжении нескольких лет многие приложения, которые основывались на устаревшей форме пользовательской аутентификации, передавали эти ключи третьим лицам, предоставляя им возможность получить доступ к информации, которую пользователи специально отметили как закрытую.

    Исследователи компании Symantec сообщили, что Facebook устранил вышеуказанный баг, но они предупредили, что те токены, которые уже были раскрыты, могут быть по-прежнему широко доступными.

    "Нет надежного способа определить, сколько токенов доступа было раскрыто с момента запуска приложений для Facebook в 2007 году", - написал во вторник в блоге Нишант Доши из Symantec . "Мы опасаемся, что большое количество этих токенов может по-прежнему быть доступно в файлах регистрации сторонних серверов или активно использоваться рекламодателями".

    В то время как у многих токенов доступа срок их действия истекает вскоре после создания, Facebook также предоставляет оффлайн токены доступа, которые остаются действительными постоянно. Пользователи Facebook могут закрыть этот потенциальный пробел в безопасности просто изменив свои пароли, что незамедлительно аннулирует все ранее выпущенные ключи.

    Уязвимость существовала в аутентификационной схеме, которая предшествовала внедрению нового стандарта, известного как OAUTH. Приложения Facebook, которые базируются на старой системе и используют общеупотребимые переменные в коде, публикую токены доступа прямо в URL-ах, которые автоматически открываются приложением. Учетные данные затем могут попасть в руки рекламодателей или других третьих лиц, которые внедрят iframe на страницу приложения.

    "Приложения Facebook могут по оплошности опубликовать токены доступа для третьих лиц. Есть возможность сделать это преднамеренно, но, к сожалению, часто это происходит случайно", - написал Доши. "Особенно часто URL, включающий токен доступа, переходит к сторонним рекламодателям в поле HTTP referer".

    Представитель Facebook сообщил, что нет доказательств того, что этот программный недостаток эксплуатировался таким образом, чтобы нарушить политику приватности социальной сети, которая твердо обещает: "Мы никогда не предоставляем ваши личные данные нашим рекламодателям". Во вторник компания Facebook также заявила, что она навсегда избавилась от старой аутентификационной процедуры.

    Доши сообщил, что нет возможности точно узнать, сколько приложений или пользователей Facebook было затронуто в результате этой ошибки. По их оценкам, в прошлом месяце почти 100 000 приложений были подвержены такой утечке данных и за эти годы "сотни тысяч приложений могли непреднамеренно обнажать миллионы токенов доступа для третьих лиц".

    Как говорилось выше, все ранее выпущенные токены доступа могут быть аннулированы путем изменения пароля в Facebook.


    источник
     

Поделиться этой страницей