Facebook maakt rustig een gigantisch beveiligingslek aan, miljoenen mogelijk getroffen [Nieuws]
Facebook heeft de beweringen van Symantec over miljoenen gelekt bevestigd “toegangstokens”. Met behulp van deze tokens kan een toepassing toegang krijgen tot persoonlijke informatie en wijzigingen in profielen aanbrengen, waardoor derden in feite de “Reserve sleutel” naar uw profielinformatie, foto's, muur en berichten.
Het is niet bevestigd of deze derden (vooral adverteerders) wisten van de beveiligingslek, hoewel Facebook Symantec sindsdien heeft verteld dat de fout is verholpen. Toegang die via deze sleutels wordt verleend, kan zelfs zijn gebruikt voor het ontginnen van persoonlijke gegevens van mijn gebruikers, met bewijs dat de beveiligingsfout kon teruggaan tot 2007 toen Facebook-applicaties werden gelanceerd.
Symantec-medewerker Nishant Doshi zei in een blogpost:
“We schatten dat vanaf april 2011 bijna 100.000 applicaties deze lekkage mogelijk maakten. We schatten dat in de loop van de jaren honderdduizenden applicaties per ongeluk miljoenen toegangstokens naar derden hebben gelekt.”
Niet helemaal Sony
Toegangstokens worden verleend wanneer een gebruiker een applicatie installeert en de servicetoegang verleent aan zijn of haar profielinformatie. Gewoonlijk verlopen toegangssleutels in de loop van de tijd, hoewel veel toepassingen een offline toegangssleutel aanvragen die niet zal veranderen totdat een gebruiker een nieuw wachtwoord instelt.
Ondanks Facebook met behulp van solide OAUTH2.0-authenticatiemethoden, worden een aantal oudere authenticatieschema's nog steeds geaccepteerd en op hun beurt gebruikt door duizenden applicaties. Het zijn deze applicaties die gebruikmaken van verouderde beveiligingsmethoden die mogelijk onbedoeld informatie aan derden hebben gelekt.
Nishant legt uit:
“De toepassing gebruikt een omleiding aan de clientzijde om de gebruiker om te leiden naar het vertrouwde dialoogvenster voor toepassingsrechten. Dit indirecte lek kan optreden als de toepassing een oudere Facebook API gebruikt en de volgende verouderde parameters heeft, “return_session = 1” en “session_version = 3 ", als onderdeel van hun omleidingscode.”
Als deze parameters zijn gebruikt (zie hierboven), zou Facebook een HTTP-verzoek retourneren met toegangstokens binnen de URL. Als onderdeel van het verwijzingsschema wordt deze URL op zijn beurt doorgegeven aan externe adverteerders, compleet met toegangstoken (hieronder weergegeven).
Gebruikers die bezorgd zijn dat hun toegangssleutels goed zijn gelekt, moeten hun wachtwoord onmiddellijk wijzigen om het token automatisch opnieuw in te stellen.
Er was geen nieuws over de schending op het officiële Facebook-blog, hoewel de herziene methoden voor applicatieverificatie sindsdien zijn gepubliceerd op het blog van de ontwikkelaar, waardoor alle sites en applicaties moeten overschakelen naar OAUTH2.0.
Ben je paranoïde over internetbeveiliging? Geef uw mening over de huidige staat van Facebook en online beveiliging in het algemeen in de opmerkingen!
Image Credit: Symantec
Ontdek meer over: Facebook.