Skelbimas
![„Facebook“ tyliai užtaiso didžiulę apsauginę skylę, paveiktai milijonams [Naujienos] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
„Facebook“ patvirtino „Symantec“ pareiškimus dėl milijonų nutekėjusių „prieigos raktų“. Šie žetonai suteikia programai prieigą prie asmeninės informacijos ir profilių pakeitimų, iš esmės suteikdami trečiosioms šalims „atsarginį raktą“ jūsų profilio informacijai, nuotraukoms, sienai ir žinutes.
Nepatvirtinta, ar šios trečiosios šalys (dažniausiai reklamuotojai) žinojo apie saugumo skylę, nors nuo to laiko „Facebook“ pranešė „Symantec“, kad trūkumas buvo pašalintas. Šiais klavišais suteikta prieiga netgi galėjo būti panaudota naudotojų asmeniniams duomenims išžvalgyti, turint įrodymų, kad saugumo trūkumas galėjo atsirasti 2007 m., Kai buvo paleistos „Facebook“ programos.
„Symantec“ darbuotojas Nishant Doshi sakė a tinklaraščio straipsnis:
“Manome, kad nuo 2011 m. Balandžio mėn. Apie 100 000 paraiškų leido nutekėti. Manome, kad bėgant metams šimtai tūkstančių programų netyčia nutekino milijonus prieigos raktų trečiosioms šalims.”
Ne visai „Sony“
Prieigos žetonai suteikiami, kai vartotojas įdiegia programą ir suteikia tarnybai prieigą prie savo profilio informacijos. Paprastai prieigos raktai laikui bėgant pasibaigia, tačiau daugelis programų reikalauja neprisijungimo prieigos rakto, kuris nepasikeis, kol vartotojas nenustatys naujo slaptažodžio.
Nepaisant to, kad „Facebook“ naudoja tvirtus OAUTH2.0 autentifikavimo metodus, nemažai senesnių autentifikavimo schemų vis dar priimamos ir jas savo ruožtu naudoja tūkstančiai programų. Būtent šios programos, naudodamos pasenusius saugumo metodus, galėjo netyčia nutekėti informaciją trečiosioms šalims.
Nishant paaiškina:
„Programa naudoja peradresavimą iš kliento pusės, kad peradresuotų vartotoją į pažįstamą programos leidimo dialogo langą. Šis netiesioginis nutekėjimas gali įvykti, jei programa naudoja seną „Facebook“ API ir turi šiuos nebenaudojamus parametrus, „return_session = 1“ ir „session_version = 3“ kaip savo peradresavimo kodo dalį. “
![„Facebook“ tyliai užtaiso didžiulę saugumo skylę, paveiktą milijonams [Naujienos] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Jei šie parametrai būtų naudojami (pavaizduota aukščiau), „Facebook“ grąžintų HTTP užklausą, kurioje yra prieigos prieigos raktų URL. Kaip persiuntimo schemos dalis, šis URL savo ruožtu perduodamas trečiųjų šalių reklamuotojams, pateikiant prieigos prieigos raktą (pavaizduota žemiau).
![„Facebook“ tyliai užtaiso didžiulę saugumo skylę, paveiktą milijonams [Naujienos] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Vartotojai, kurie yra susirūpinę dėl to, kad jų prieigos raktai buvo gerai ir tikrai nutekėjo, turėtų nedelsdami pakeisti slaptažodžius, kad automatiškai iš naujo nustatytų prieigos raktą.
Oficialiame „Facebook“ tinklaraštyje žinių apie pažeidimą nebuvo, nors nuo to laiko buvo atnaujinti programų autentifikavimo metodai buvo paskelbtas kūrėjų tinklaraštyje reikalaujant, kad visos svetainės ir programos perjungtų į OAUTH2.0.
Ar esate paranojiškas dėl interneto saugumo? Komentaruose pasakykite savo nuomonę apie dabartinę „Facebook“ ir internetinės saugos būklę!
Vaizdo kreditas: „Symantec“
Timas yra laisvai samdomas rašytojas, gyvenantis Melburne, Australijoje. Galite sekti juo „Twitter“.
