Διαφήμιση
Δεν επιβεβαιώνεται εάν αυτά τα τρίτα μέρη (κυρίως διαφημιζόμενοι) γνώριζαν για την τρύπα ασφαλείας, αν και το Facebook είπε έκτοτε στη Symantec ότι το ελάττωμα έχει διορθωθεί. Η πρόσβαση που παραχωρήθηκε μέσω αυτών των κλειδιών θα μπορούσε ακόμη και να χρησιμοποιηθεί για την εξόρυξη προσωπικών δεδομένων των χρηστών, με αποδεικτικά στοιχεία ότι το ελάττωμα ασφαλείας θα μπορούσε να χρονολογηθεί από το 2007 όταν ξεκίνησαν οι εφαρμογές Facebook.
Ο υπάλληλος της Symantec Nishant Doshi είπε σε ένα ανάρτηση:
“Υπολογίζουμε ότι από τον Απρίλιο του 2011, σχεδόν 100.000 εφαρμογές επέτρεπαν αυτήν τη διαρροή. Εκτιμούμε ότι με την πάροδο των ετών, εκατοντάδες χιλιάδες εφαρμογές ενδέχεται να έχουν διαρρεύσει ακούσια εκατομμύρια διακριτικά πρόσβασης σε τρίτους.”
Όχι αρκετά Sony
Τα διακριτικά πρόσβασης παρέχονται όταν ένας χρήστης εγκαθιστά μια εφαρμογή και παραχωρεί στην υπηρεσία πρόσβαση στις πληροφορίες του προφίλ του. Συνήθως τα κλειδιά πρόσβασης λήγουν με την πάροδο του χρόνου, αν και πολλές εφαρμογές ζητούν ένα κλειδί πρόσβασης εκτός σύνδεσης το οποίο δεν θα αλλάξει έως ότου ο χρήστης ορίσει έναν νέο κωδικό πρόσβασης.
Παρά το ότι το Facebook χρησιμοποιεί σταθερές μεθόδους ελέγχου ταυτότητας OAUTH2.0, ορισμένα παλαιότερα σχήματα ελέγχου ταυτότητας εξακολουθούν να γίνονται αποδεκτά και με τη σειρά τους χρησιμοποιούνται από χιλιάδες εφαρμογές. Αυτές οι εφαρμογές, που χρησιμοποιούν ξεπερασμένες μεθόδους ασφαλείας, ενδέχεται να έχουν διαρρεύσει ακούσια πληροφορίες σε τρίτους.
Ο Νισάντ εξηγεί:
«Η εφαρμογή χρησιμοποιεί μια ανακατεύθυνση από την πλευρά του πελάτη για την ανακατεύθυνση του χρήστη στο οικείο παράθυρο διαλόγου άδειας εφαρμογής. Αυτή η έμμεση διαρροή θα μπορούσε να συμβεί εάν η εφαρμογή χρησιμοποιεί ένα παλαιό API του Facebook και έχει τις ακόλουθες καταργηθείσες παραμέτρους, "return_session = 1" και "session_version = 3 ″, ως μέρος του κώδικα ανακατεύθυνσής τους."
Εάν είχαν χρησιμοποιηθεί αυτές οι παράμετροι (απεικονίζεται παραπάνω), το Facebook θα επιστρέψει ένα αίτημα HTTP που περιέχει διακριτικά πρόσβασης στη διεύθυνση URL. Ως μέρος του σχήματος παραπομπής, αυτή η διεύθυνση URL μεταφέρεται με τη σειρά της σε διαφημιζόμενους τρίτων, συμπληρωμένη με διακριτικό πρόσβασης (απεικονίζεται παρακάτω).
Οι χρήστες που ανησυχούν ότι τα κλειδιά πρόσβασης έχουν διαρρεύσει καλά και πρέπει να αλλάξουν τους κωδικούς πρόσβασης αμέσως για να επαναφέρουν αυτόματα το διακριτικό.
Δεν υπήρξε καμία είδηση για την παραβίαση στο επίσημο ιστολόγιο Facebook, αν και από τότε έχουν αναθεωρηθεί οι μέθοδοι ελέγχου ταυτότητας εφαρμογών δημοσιεύτηκε στο ιστολόγιο προγραμματιστών, απαιτώντας από όλους τους ιστότοπους και τις εφαρμογές να μεταβούν στο OAUTH2.0.
Είστε παρανοϊκός για την ασφάλεια στο Διαδίκτυο; Έχετε τη γνώμη σας για την τρέχουσα κατάσταση του Facebook και της διαδικτυακής ασφάλειας γενικά στα σχόλια!
Πιστωτική εικόνα: Symantec
Ο Tim είναι ανεξάρτητος συγγραφέας που ζει στη Μελβούρνη της Αυστραλίας. Μπορείτε να τον ακολουθήσετε στο Twitter.