Mellékleteink: HUP | Gamekapocs
Keres

Véletlenül szivárogtatta a felhasználói adatokat a Facebook

Dojcsák Dániel, 2011. május 11. 16:18
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A Symantec egy olyan biztonsági rést fedezett fel a Facebookon, amivel a közösségi oldalhoz fejlesztett külső alkalmazások véletlenül hozzáférhettek a felhasználók fiókadataihoz. A probléma ráadásul évek óta fennáll, nem lehet tudni, hogy kik élhettek ezzel vissza és milyen célokra használtak fel így adatokat.

A hiba folytán a fejlesztők közül az érintettek az alkalmazásaikat feltelepítő felhasználók profiljain túl hozzáfértek a fényképekhez, de ami komolyabb probléma, hogy az üzenetekhez és a chat naplófájlokhoz is. Sőt, még jogosultságot szerezhettek arra is, hogy a felhasználó nevében üzeneteket küldjenek és a személyes, de nem publikus adataik közt turkáljanak. Az egyetlen szerencse, hogy az alkalmazások készítőinek vélhetően fogalmuk sem volt róla, hogy ilyen lehetőség birtokában vannak, illetve arról sem, hogy ezt hogyan lehetne elérni, kihasználni.

Figyelmetlenség okozta a hibát

A Symantec által felfedezett biztonsági rés alapja, hogy a Facebookon futó régebbi, tehát nem OAuth 2.0 azonosítást használó alkalmazások figyelmetlenségből hozzáférést szolgáltattak a külső partnereknek. Az access tokenek lehetővé teszik az alkalmazások számára, hogy elérhessék a felhasználók vagy az ismerőseik adatait és a nevükben tevékenykedjenek, például üzeneteket írjanak. A Facebook-alkalmazások kiszivárogtatták ezeket a tokeneket, ha egy HTTP-kérést küldtek, mivel a kérés URL-jében benne volt a hozzáféréshez szükséges token - némi bogarászás után a hirdetők, akármelyik analitikát végző cég, vagy valamely nagyobb rendszert használó, az alkalmazás tulajdonosával partnerségben lévő cég elkezdhetett volna módszeresen bányászni az adatok között.

Az alkalmazásokat kifejlesztő vagy az azokat megrendelő cégek viszont nagyon furcsa helyzetbe kerültek, hiszen úgy éltek vissza felhasználói adatokkal, hogy ez nem állt szándékukban és valószínűleg nem is tudtak róla. A Symantec a publikálás előtt értesítette az információról a Facebookot, ahol a mérnökök nagyon rövid idő alatt megoldották ezt a problémát, így mire ez napvilágra került, már nem is okozhatott gondot. A biztonsági cég becslése szerint több százezer alkalmazás és több százmillió felhasználó lehetett érintett.

“Értékeljük, hogy a Symantec felfedezte ezt a problémát és azt, hogy együtt dolgoztak velünk, hogy azonnal megoldható legyen a helyzet" - monsta Douglas Purdy, a Facebook fejlesztési igazgatója. "Sajnos a jelentés némileg pontatlan. Végeztünk egy alapos nyomozást, de nincs bizonyíték arra, hogy a személyes adatok illetéktelen kezekbe kerültek volna. Ráadásul, a jelentés figyelmen kívül hagyja azt a tényt, hogy a hirdetők és a fejlesztők a szerződés szerint nem oszthatnak meg felhasználói adatokat olyan módon, ami sérti a Facebook szabályzatát.”

A Facebook ezt most könnyen megúszta annyival, hogy be kellett ismernie, hogy létezett egy ilyen rés. Sokkal nehezebb helyzetben lenne a szolgáltató, ha erre nem a Symantec jön rá, vagy ha először nem a Facebookkal osztja meg az információt. Ha valaki mégis úgy érzi, hogy nincs teljes biztonságban, nem nyugtatta meg a Facebook nyilatkozata, akkor egy jelszóváltoztatással visszavonhatja az összes tokent.

A hibáról további információ a Facebook fejlesztői blogján érhető el.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.