Annuncio pubblicitario
![Facebook elimina silenziosamente un enorme buco nella sicurezza, milioni potenzialmente interessati [Notizie] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook ha confermato le affermazioni fatte da Symantec su milioni di "token di accesso" trapelati. Questi token consentono a un'applicazione di accedere alle informazioni personali e apportare modifiche ai profili, essenzialmente fornire a terzi la "chiave di riserva" per le informazioni del tuo profilo, fotografie, muro e messaggi.
Non è stato confermato se queste terze parti (per lo più inserzionisti) fossero a conoscenza del problema della sicurezza, sebbene Facebook da allora abbia detto a Symantec che il difetto è stato corretto. L'accesso concesso tramite queste chiavi avrebbe persino potuto essere utilizzato per estrarre i dati personali degli utenti, con la prova che il difetto di sicurezza potrebbe risalire al 2007 quando sono state lanciate le applicazioni di Facebook.
Nishant Doshi, dipendente di Symantec, ha dichiarato in a post sul blog:
“Stimiamo che ad aprile 2011, quasi 100.000 applicazioni consentissero questa perdita. Stimiamo che nel corso degli anni, centinaia di migliaia di applicazioni potrebbero aver trapelato inavvertitamente milioni di token di accesso a terzi.”
Non abbastanza Sony
I token di accesso sono concessi quando un utente installa un'applicazione e concede al servizio l'accesso alle informazioni del proprio profilo. Di solito le chiavi di accesso scadono nel tempo, sebbene molte applicazioni richiedano una chiave di accesso offline che non cambierà fino a quando un utente non imposterà una nuova password.
Nonostante Facebook utilizzi solidi metodi di autenticazione OAUTH2.0, numerosi schemi di autenticazione precedenti sono ancora accettati e a loro volta utilizzati da migliaia di applicazioni. Sono queste applicazioni, che utilizzano metodi di sicurezza obsoleti che possono inavvertitamente divulgare informazioni a terzi.
Nishant spiega:
"L'applicazione utilizza un reindirizzamento lato client per reindirizzare l'utente alla finestra di dialogo delle autorizzazioni dell'applicazione familiare. Questa perdita indiretta potrebbe verificarsi se l'applicazione utilizza un'API di Facebook legacy e ha i seguenti parametri obsoleti, "return_session = 1" e "session_version = 3", come parte del loro codice di reindirizzamento. "
![Facebook elimina silenziosamente un enorme buco nella sicurezza, milioni di persone potenzialmente interessate [Notizie] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Se questi parametri fossero stati utilizzati (nella foto sopra), Facebook avrebbe restituito una richiesta HTTP contenente token di accesso all'interno dell'URL. Come parte dello schema di referral, questo URL viene a sua volta trasmesso agli inserzionisti di terze parti, completo di token di accesso (nella foto sotto).
![Facebook elimina silenziosamente un enorme buco nella sicurezza, milioni di persone potenzialmente interessate [Notizie] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Gli utenti che temono che le loro chiavi di accesso siano state correttamente e trapelate dovrebbero cambiare immediatamente la password per ripristinare automaticamente il token.
Non ci sono state notizie della violazione sul blog ufficiale di Facebook, sebbene da allora i metodi di autenticazione delle applicazioni rivisti stato pubblicato sul blog degli sviluppatori, richiedendo che tutti i siti e le applicazioni passino a OAUTH2.0.
Sei paranoico sulla sicurezza di Internet? Dì la tua sullo stato attuale di Facebook e sulla sicurezza online in generale nei commenti!
Credito immagine: Symantec
Tim è uno scrittore freelance che vive a Melbourne, in Australia. Puoi seguirlo su Twitter.
