Forside Internet Facebook laver roligt et massivt sikkerhedshul, millioner påvirket potentielt [Nyheder]

Facebook laver roligt et massivt sikkerhedshul, millioner påvirket potentielt [Nyheder]

  • Mark Lucas
  • 0
  • 2623
  • 83
Reklame

Facebook har bekræftet påstande fra Symantec over millioner af lækkede “adgangstegn”. Disse tokens gør det muligt for en applikation at få adgang til personlige oplysninger og foretage ændringer i profiler, hvilket i det væsentlige giver tredjepart “Ekstra nøgle” til dine profiloplysninger, fotografier, væg og beskeder.

Det bekræftes ikke, om disse tredjeparter (for det meste annoncører) vidste om sikkerhedshullet, skønt Facebook siden har fortalt Symantec, at fejlen er rettet. Adgang tildelt via disse nøgler kunne endda have været brugt til at mines brugeres personlige data med bevis for, at sikkerhedsfejlen kan dateres tilbage til 2007, da Facebook-applikationer blev lanceret.

Symantec-medarbejder Nishant Doshi sagde i et blogindlæg:

Vi estimerer, at fra og med april 2011 muliggjorde næsten 100.000 applikationer denne lækage. Vi estimerer, at hundreder af tusinder af applikationer i årenes løb har utilsigtet lækket millioner af adgangstoketter til tredjepart.”

Ikke ret Sony

Adgangstokens tildeles, når en bruger installerer en applikation og giver tjenesten adgang til hans eller hendes profiloplysninger. Normalt udløber adgangstaster over tid, selvom mange applikationer anmoder om en offline adgangsnøgle, som ikke ændres, før en bruger indstiller en ny adgangskode.

På trods af at Facebook bruger solide OAUTH2.0-godkendelsesmetoder, accepteres et antal ældre godkendelsesordninger stadig og anvendes igen af ​​tusinder af applikationer. Det er disse applikationer, der bruger forældede sikkerhedsmetoder, der kan have utilsigtet lækket information til tredjepart.

Nishant forklarer:

“Programmet bruger en omdirigering på klientsiden til at omdirigere brugeren til den velkendte dialogboks til applikationstilladelse. Denne indirekte lækage kan ske, hvis applikationen bruger en ældre Facebook API og har følgende forældede parametre, “return_session = 1” og “session_version = 3 ", som en del af deres omdirigeringskode.”

Hvis disse parametre var blevet brugt (afbildet ovenfor), ville Facebook returnere en HTTP-anmodning, der indeholder adgangstegn i URL'en. Som en del af henvisningsskemaet overføres denne URL til tredjepart-annoncører komplet med adgangstoken (afbildet nedenfor).

Brugere, der er bekymrede for, at deres adgangsnøgler er blevet godt og virkelig lækket, skal straks ændre deres adgangskoder for automatisk at nulstille token.

Der var ingen nyheder om bruddet på den officielle Facebook-blog, skønt der er blevet revideret reviderede applikationsgodkendelsesmetoder på udviklerens blog, hvilket krævede, at alle websteder og applikationer skulle skifte til OAUTH2.0.

Er du paranoid over Internetsikkerhed? Fortæl om den aktuelle tilstand af Facebook og online sikkerhed generelt i kommentarerne!

Billedkredit: Symantec




Endnu ingen kommentarer

Sådan deaktiveres Outlook-bekræftelser, når du sletter e-mails
Produktivitet
7 gratis PowerPoint-alternativer til alle dine præsentationsbehov
Produktivitet
Sådan bruges Google-formularer til at oprette en interaktiv arbejdsgang
Produktivitet
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.