פרסומת

פייסבוק טלאים בשקט חור אבטחה עצום, מיליונים המושפעים מאוד [חדשות] facebook logo 300x300פייסבוק אישרה את טענותיה של סימנטק על מיליוני "אסימוני גישה" שהודלפו. אסימונים אלה מאפשרים לאפליקציה לגשת למידע אישי ולבצע שינויים בפרופילים, בעצם מתן לצדדים שלישיים את "המפתח הרזרבי" למידע הפרופיל שלך, תמונות, קיר ו הודעות.

לא אושר אם צדדים שלישיים אלה (בעיקר מפרסמים) ידעו על חור האבטחה, אם כי פייסבוק הודיעה מאז לסימנטק כי הפגם תוקן. גישה שניתנה באמצעות מפתחות אלה יכולה הייתה אפילו לשמש כדי לכרות את הנתונים האישיים של המשתמשים, עם עדות לכך שהליקוי באבטחה יכול היה להיערך משנת 2007 עם עליית האפליקציות של פייסבוק.

עובד Symantec, Nishant Doshi, אמר בסעיף א פוסט בבלוג:

אנו מעריכים כי החל מאפריל 2011, קרוב ל 100,000 אפליקציות אפשרו דליפה זו. אנו מעריכים כי במהלך השנים מאות אלפי יישומים עשויים להדליף בשוגג מיליוני אסימוני גישה לצדדים שלישיים.”

לא סוני למדי

אסימוני גישה ניתנים כאשר משתמש מתקין יישום ומעניק לשירות גישה לפרטי הפרופיל שלו. בדרך כלל מקשי הגישה פוקעים לאורך זמן, אם כי יישומים רבים מבקשים מפתח גישה לא מקוון אשר לא ישתנה עד שמשתמש יגדיר סיסמה חדשה.

למרות שפייסבוק משתמשת בשיטות אימות מוצקות של OAUTH2.0, מספר תוכניות אימות ישנות עדיין מתקבלות ומשמשות בתורן של אלפי יישומים. היישומים הללו משתמשים בשיטות אבטחה מיושנות שעלולות להדליף מידע בשוגג לצדדים שלישיים.

instagram viewer

נישנט מסביר:

"היישום משתמש בהפניה מחדש מצד הלקוח לצורך הפניית המשתמש לתיבת הדו-שיח המוכרת של הרשאת היישום. דליפה עקיפה זו יכולה לקרות אם היישום משתמש בממשק API של פייסבוק מדור קודם ויש לו את הפרמטרים הבאים שהוצאו משימוש, "return_session = 1" ו- "session_version = 3 ″, כחלק מקוד ההפניה שלהם."

פייסבוק טלאים בשקט חור אבטחה אדיר, מיליונים שהושפעו מאוד [חדשות] sym fb1

אם נעשה שימוש בפרמטרים אלה (בתמונה למעלה), פייסבוק הייתה מחזירה בקשת HTTP הכוללת אסימוני גישה בתוך כתובת האתר. כחלק מתכנית ההפניה, כתובת URL זו מועברת בתורם למפרסמי צד ג ', שלמה עם אסימון גישה (בתמונה למטה).

פייסבוק טלאים בשקט חור אבטחה עצום, מיליונים המושפעים מאוד [חדשות] sym fb2

משתמשים המודאגים ממקשי הגישה שלהם ודליפו באמת צריכים לשנות את הסיסמאות שלהם באופן מיידי כדי לאפס את האסימון באופן אוטומטי.

לא פורסמו חדשות על הפרה בבלוג הרשמי בפייסבוק, אם כי מאז שיטות אימות אפליקציות מתוקנות פורסם בבלוג המפתחים, המחייב את כל האתרים והיישומים לעבור ל- OAUTH2.0.

האם אתה פרנואידי בנוגע לאבטחת אינטרנט? אמרו על המצב הנוכחי של פייסבוק ואבטחה מקוונת בכלל בתגובות!

אשראי תמונה: סימנטק

טים הוא סופר עצמאי שחי במלבורן, אוסטרליה. תוכלו לעקוב אחריו בטוויטר.