Facebook tranquillamente toppa un enorme buco di sicurezza, milioni potenzialmente interessati [News]
Facebook ha confermato le affermazioni fatte da Symantec su milioni di trapelate “token di accesso”. Questi token consentono a un'applicazione di accedere alle informazioni personali e apportare modifiche ai profili, dando essenzialmente a terze parti “chiave di riserva” al tuo profilo informazioni, fotografie, muro e messaggi.
Non è stato confermato se queste terze parti (per la maggior parte inserzionisti) fossero a conoscenza del buco di sicurezza, anche se Facebook ha detto a Symantec che il problema è stato risolto. L'accesso concesso tramite queste chiavi potrebbe anche essere stato utilizzato per estrarre i dati personali degli utenti, con la prova che il difetto di sicurezza potrebbe risalire al 2007 quando sono state lanciate le applicazioni di Facebook.
Il dipendente di Symantec Nishant Doshi ha dichiarato in un post sul blog:
“Stimiamo che a partire da aprile 2011, quasi 100.000 applicazioni consentissero questa perdita. Stimiamo che nel corso degli anni, centinaia di migliaia di applicazioni potrebbero aver inavvertitamente trasmesso milioni di token di accesso a terze parti.”
Non proprio Sony
I token di accesso sono concessi quando un utente installa un'applicazione e concede al servizio l'accesso alle sue informazioni sul profilo. Solitamente le chiavi di accesso scadono nel tempo, sebbene molte applicazioni richiedano una chiave di accesso offline che non cambierà fino a quando un utente non imposterà una nuova password.
Nonostante Facebook utilizzi metodi di autenticazione OAUTH2.0 solidi, un certo numero di schemi di autenticazione più vecchi sono ancora accettati e a loro volta utilizzati da migliaia di applicazioni. Sono queste applicazioni che utilizzano metodi di sicurezza obsoleti che possono aver inavvertitamente trasmesso informazioni a terzi.
Nishant spiega:
“L'applicazione utilizza un reindirizzamento lato client per reindirizzare l'utente alla finestra di dialogo di autorizzazione dell'applicazione familiare. Questa perdita indiretta potrebbe verificarsi se l'applicazione utilizza un'API legacy di Facebook e presenta i seguenti parametri deprecati, “return_session = 1” e “session_version = 3 ", come parte del loro codice di reindirizzamento.”
Se questi parametri sono stati utilizzati (nella foto sopra), Facebook restituirebbe una richiesta HTTP contenente i token di accesso all'interno dell'URL. Come parte dello schema di riferimento, questo URL viene a sua volta trasmesso agli inserzionisti di terze parti, completo di token di accesso (nella foto sotto).
Gli utenti che temono che le loro chiavi di accesso siano state trapelate correttamente devono cambiare immediatamente le loro password per ripristinare automaticamente il token.
Non ci sono notizie della violazione sul blog ufficiale di Facebook, anche se i metodi di autenticazione delle applicazioni rivisti sono stati postati sul blog degli sviluppatori, richiedendo a tutti i siti e le applicazioni di passare a OAUTH2.0.
Sei paranoico sulla sicurezza di Internet? Dai la tua opinione sullo stato attuale di Facebook e sulla sicurezza online in generale nei commenti!
Credito immagine: Symantec
Scopri di più su: Facebook.