Véletlenül szivárogtatta a felhasználói adatokat a Facebook
A Symantec egy olyan biztonsági rést fedezett fel a Facebookon, amivel a közösségi oldalhoz fejlesztett külső alkalmazások véletlenül hozzáférhettek a felhasználók fiókadataihoz. A probléma ráadásul évek óta fennáll, nem lehet tudni, hogy kik élhettek ezzel vissza és milyen célokra használtak fel így adatokat.
A hiba folytán a fejlesztők közül az érintettek az alkalmazásaikat feltelepítő felhasználók profiljain túl hozzáfértek a fényképekhez, de ami komolyabb probléma, hogy az üzenetekhez és a chat naplófájlokhoz is. Sőt, még jogosultságot szerezhettek arra is, hogy a felhasználó nevében üzeneteket küldjenek és a személyes, de nem publikus adataik közt turkáljanak. Az egyetlen szerencse, hogy az alkalmazások készítőinek vélhetően fogalmuk sem volt róla, hogy ilyen lehetőség birtokában vannak, illetve arról sem, hogy ezt hogyan lehetne elérni, kihasználni.
Figyelmetlenség okozta a hibát
A Symantec által felfedezett biztonsági rés alapja, hogy a Facebookon futó régebbi, tehát nem OAuth 2.0 azonosítást használó alkalmazások figyelmetlenségből hozzáférést szolgáltattak a külső partnereknek. Az access tokenek lehetővé teszik az alkalmazások számára, hogy elérhessék a felhasználók vagy az ismerőseik adatait és a nevükben tevékenykedjenek, például üzeneteket írjanak. A Facebook-alkalmazások kiszivárogtatták ezeket a tokeneket, ha egy HTTP-kérést küldtek, mivel a kérés URL-jében benne volt a hozzáféréshez szükséges token - némi bogarászás után a hirdetők, akármelyik analitikát végző cég, vagy valamely nagyobb rendszert használó, az alkalmazás tulajdonosával partnerségben lévő cég elkezdhetett volna módszeresen bányászni az adatok között.
Az alkalmazásokat kifejlesztő vagy az azokat megrendelő cégek viszont nagyon furcsa helyzetbe kerültek, hiszen úgy éltek vissza felhasználói adatokkal, hogy ez nem állt szándékukban és valószínűleg nem is tudtak róla. A Symantec a publikálás előtt értesítette az információról a Facebookot, ahol a mérnökök nagyon rövid idő alatt megoldották ezt a problémát, így mire ez napvilágra került, már nem is okozhatott gondot. A biztonsági cég becslése szerint több százezer alkalmazás és több százmillió felhasználó lehetett érintett.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
“Értékeljük, hogy a Symantec felfedezte ezt a problémát és azt, hogy együtt dolgoztak velünk, hogy azonnal megoldható legyen a helyzet" - monsta Douglas Purdy, a Facebook fejlesztési igazgatója. "Sajnos a jelentés némileg pontatlan. Végeztünk egy alapos nyomozást, de nincs bizonyíték arra, hogy a személyes adatok illetéktelen kezekbe kerültek volna. Ráadásul, a jelentés figyelmen kívül hagyja azt a tényt, hogy a hirdetők és a fejlesztők a szerződés szerint nem oszthatnak meg felhasználói adatokat olyan módon, ami sérti a Facebook szabályzatát.”
A Facebook ezt most könnyen megúszta annyival, hogy be kellett ismernie, hogy létezett egy ilyen rés. Sokkal nehezebb helyzetben lenne a szolgáltató, ha erre nem a Symantec jön rá, vagy ha először nem a Facebookkal osztja meg az információt. Ha valaki mégis úgy érzi, hogy nincs teljes biztonságban, nem nyugtatta meg a Facebook nyilatkozata, akkor egy jelszóváltoztatással visszavonhatja az összes tokent.
A hibáról további információ a Facebook fejlesztői blogján érhető el.