Advertentie
Het is niet bevestigd of deze derde partijen (meestal adverteerders) op de hoogte waren van het beveiligingslek, hoewel Facebook sindsdien aan Symantec heeft verteld dat de fout is verholpen. Toegang die via deze sleutels werd verleend, had zelfs kunnen worden gebruikt om de persoonlijke gegevens van gebruikers te ontginnen, met het bewijs dat de beveiligingsfout dateert van 2007 toen Facebook-applicaties werden gelanceerd.
Symantec-medewerker Nishant Doshi zei in een blogpost:
“We schatten dat vanaf april 2011 bijna 100.000 toepassingen deze lekkage mogelijk maakten. We schatten dat honderdduizenden applicaties in de loop der jaren onbedoeld miljoenen toegangstokens naar derden hebben gelekt.”
Niet helemaal Sony
Toegangstokens worden verleend wanneer een gebruiker een applicatie installeert en de service toegang geeft tot zijn of haar profielgegevens. Gewoonlijk verlopen toegangssleutels na verloop van tijd, hoewel veel toepassingen om een offline toegangssleutel vragen die niet zal veranderen totdat een gebruiker een nieuw wachtwoord instelt.
Ondanks dat Facebook solide OAUTH2.0-authenticatiemethoden gebruikt, worden een aantal oudere authenticatieschema's nog steeds geaccepteerd en op hun beurt gebruikt door duizenden applicaties. Het zijn deze toepassingen, die verouderde beveiligingsmethoden gebruiken die mogelijk onbedoeld informatie naar derden hebben gelekt.
Nishant legt uit:
“De toepassing gebruikt een omleiding aan de clientzijde om de gebruiker om te leiden naar het vertrouwde dialoogvenster voor toepassingsmachtigingen. Dit indirecte lek kan optreden als de applicatie een verouderde Facebook-API gebruikt en de volgende verouderde parameters, "return_session = 1" en "session_version = 3", als onderdeel van hun omleidingscode heeft. "
Als deze parameters zijn gebruikt (hierboven afgebeeld), retourneert Facebook een HTTP-verzoek met toegangstokens binnen de URL. Als onderdeel van het verwijzingsschema wordt deze URL op zijn beurt doorgegeven aan externe adverteerders, compleet met toegangstoken (hieronder afgebeeld).
Gebruikers die bezorgd zijn dat hun toegangssleutels goed en echt zijn gelekt, moeten hun wachtwoord onmiddellijk wijzigen om het token automatisch opnieuw in te stellen.
Er was geen nieuws over de inbreuk op het officiële Facebook-blog, hoewel er sindsdien herziene methoden voor applicatie-authenticatie zijn geplaatst op de ontwikkelaarsblog, waarbij alle sites en applicaties moeten overschakelen naar OAUTH2.0.
Ben je paranoïde over internetbeveiliging? Geef je mening over de huidige staat van Facebook en online beveiliging in het algemeen in de reacties!
Afbeelding tegoed: Symantec
Tim is een freelance schrijver en woont in Melbourne, Australië. Je kunt hem volgen op Twitter.