Уродливая сторона облака: уязвимость доступа к Facebook обнаружена

Безопасность была одной из главных тем последних 30 дней. У нас был Последний проход инцидент и Взлом Sony PSN. Оба инцидента продемонстрировали, что ваши данные могут быть в опасности, даже если вы играете по правилам и используете лучшие доступные методы безопасности.

Если вы думали, что это все на этот месяц, то ошибались. Symantec Вчера выяснилось, что они обнаружили уязвимость доступа в Facebook, которая может появиться еще в 2007 году.

Приложения Facebook в некоторых случаях передавали токены доступа третьим лицам. Маркеры доступа используются приложениями для действий от имени пользователя, например, путем публикации на стене пользователя. Имея в своем распоряжении эти токены доступа, рекламодатели и компании теоретически могли выполнять операции от имени пользователя, которые могут включать доступ к профилям друзей, даже если они заблокированы для публики, размещение сообщений на стене пользователя, в чатах или к фотографиям.

По оценкам Symantec, около 100 000 приложений Facebook пропускают этот токен доступа. Сторонние приложения были представлены Facebook в 2007 году, и Symantec считает, что уязвимость существует с первого дня.

facebook

Согласно Symantec, маловероятно, что компании обнаружили уязвимость, что делает ее использование маловероятным, но не невозможным.

Facebook, похоже, тем временем исправил уязвимость доступа. Это не означает, что учетные записи Facebook безопасны сразу, учитывая, что токены доступа не истекают сразу.

Срок действия большинства токенов доступа истекает через некоторое время. Однако приложения могут запрашивать автономный доступ во время установки, что устанавливает токен доступа, срок действия которого не истекает сам по себе. Единственный способ обойти это — сделать этот токен доступа недействительным, изменив пароль учетной записи.

Facebook недавно объявила о переходе на OAUTH 2.0 для всех приложений. Разработчики приложений должны до 1 сентября изменить схему аутентификации своих приложений на OAUTH 2.0.

Возможно, пришло время изменить свой пароль Facebook, если вы используете или использовали сторонние приложения на Facebook.

Мелани принимают

Еще раз, вы можете делиться на Facebook больше, чем вы планировали

Показатели конфиденциальности Facebook не были выдающимися. Однако в прошлом негативные отзывы прессы, которые Facebook получал из-за своих фиаско с конфиденциальностью, были связаны с изменением настроек или переключением политики. Однако теперь Facebook снова подвергается критике, на этот раз из-за слабой безопасности.

В прошлом Facebook подвергался критике из-за его отношения к конфиденциальности. Становится все более очевидным, что цель Facebook — сделать так, чтобы как можно больше людей делилось как можно большим объемом информации. За последние пять лет произошел заметный сдвиг. Вначале Facebook по умолчанию делал вашу личную информацию конфиденциальной и находящейся под вашим контролем. Теперь все ваши данные по умолчанию открыты настолько широко, насколько это возможно. Если вы хотите сделать свои данные более конфиденциальными, это не так просто, как раз, два и три. Обычному пользователю сложно ориентироваться на страницах настроек конфиденциальности.

Честно говоря, на этот раз проблема заключалась не в преднамеренной попытке сделать больше ваших личных данных общедоступными. Это случайная утечка ваших данных третьим лицам.

Вы знаете те приложения, которые так популярны? Те, которые добавляют функциональность экосистеме Facebook для всего, от игр до покупок? Что ж, по данным компании Symantec, занимающейся безопасностью, с тех пор, как в 2007 году были представлены приложения Facebook, они передавали вашу информацию третьим лицам.

Утечка связана с токенами доступа. Они предоставляются используемым вами приложениям, чтобы они могли получить доступ к вашим пользовательским данным. Они нужны приложениям для доступа к вашей стене и публикации на ней, просмотра профилей ваших друзей и личной информации, необходимой им для работы. Symantec сообщает, что случайно более 100 тысяч приложений могли передать миллионы токенов доступа третьим лицам.

Facebook заверяет своих пользователей, что не было никаких негативных последствий потенциальной утечки пользовательской информации и что никакие личные данные не были переданы третьим лицам. Symantec отмечает, что, хотя, возможно, третьи стороны даже не знали, что могут получить доступ к информации, последствия утечки могут быть обширными.

Symantec уведомила Facebook о проблеме в середине апреля, а Facebook сообщил, что по состоянию на вторник проблемы больше не было, и утечка была устранена.
Facebook уже не в первый раз узнает, что приложения могут преднамеренно или нет делиться информацией с третьими сторонами. Прошлой осенью Facebook приостановил работу некоторых приложений именно за это.

Facebook, опять же, мог бы делиться большей частью ваших данных с людьми, которым вы не обязательно хотите их видеть. По крайней мере, на этот раз это произошло случайно, и это можно исправить. Тем не менее, это еще одна причина меньше доверять конфиденциальности Facebook.

Является ли проблема конфиденциальности Facebook для вас большой? Считаете ли вы свои данные своими или считаете, что если вы делитесь чем-то в Интернете, то это все равно публично? Что ты думаешь?