Edmund Richardson
0 
786
92
Facebook Symantec tarafından milyonlarca sızıntı talebinde bulunduğunu doğruladı “erişim belirteçleri”. Bu belirteçler, bir uygulamanın kişisel bilgilere erişmesine ve temelde üçüncü kişilere verilmesine, profillerde değişiklik yapmasına olanak sağlar. “yedek anahtar” Profil bilgilerinize, fotoğraflarınıza, duvarınıza ve mesajlarınıza.
Facebook, Symantec'e kusurun giderildiğini söylese de, bu üçüncü tarafların (çoğunlukla reklam verenlerin) güvenlik açıklığı hakkında bilgi sahibi olup olmadıkları doğrulanmadı. Bu anahtarlar aracılığıyla verilen erişim, kullanıcıların kişisel verilerini madenlemeye bile sokabilirdi, güvenlik açığının Facebook uygulamaları başlatıldığında 2007 yılına kadar dayanabileceğini gösteren kanıtlar.
Symantec çalışanı Nishant Doshi bir blog yazısında şöyle dedi:
“Nisan 2011 itibarıyla 100.000'e yakın uygulamanın bu sızıntıya yol açtığını tahmin ediyoruz. Yıllar boyunca, yüz binlerce uygulamanın yanlışlıkla üçüncü taraflara milyonlarca erişim jetonunu sızdırmış olabileceğini tahmin ediyoruz..”
Oldukça Sony Değil
Erişim belirteçleri, bir kullanıcı bir uygulama yüklediğinde ve hizmet profil bilgisine erişim verdiğinde verilir. Genellikle erişim anahtarları zamanla sona eriyor, ancak birçok uygulama bir kullanıcı yeni bir parola belirleyene kadar değişmeyecek bir çevrimdışı erişim anahtarı istiyor.
Facebook'un katı OAUTH2.0 kimlik doğrulama yöntemlerini kullanmasına rağmen, birkaç eski kimlik doğrulama şeması hala kabul edilmekte ve sırayla binlerce uygulama tarafından kullanılmaktadır. Yanlışlıkla üçüncü taraflara bilgi sızdırmış olabilecek eski güvenlik yöntemlerini kullanarak bu uygulamalardır..
Nishant açıklar:
“Uygulama, kullanıcıyı bilinen uygulama izni iletişim kutusuna yönlendirmek için istemci tarafı yönlendirmesi kullanır. Bu dolaylı sızıntı, uygulama eski bir Facebook API kullanıyorsa ve kullanımdan kaldırılmış parametrelere sahipse ortaya çıkabilir, “return_session = 1” ve “session_version = 3 ", yönlendirme kodlarının bir parçası olarak.”
Bu parametrelerin kullanılması durumunda (yukarıdaki resimde) Facebook, URL’de erişim belirteçleri içeren bir HTTP isteği döndürür. Yönlendirme planının bir parçası olarak, bu URL, üçüncü taraf reklamverenlere aktarılır ve erişim belirteci ile birlikte (aşağıda gösterilen).
Erişim anahtarlarının iyi ve gerçekten sızdırılmış olduğundan endişe duyan kullanıcılar, belirteci otomatik olarak sıfırlamak için şifrelerini hemen değiştirmelidir..
Resmi Facebook blogunda ihlal haberi yoktu, ancak gözden geçirilmiş uygulama kimlik doğrulama yöntemleri geliştiricilerin blogunda yayınlandı ve tüm sitelerin ve uygulamaların OAUTH2.0'a geçmesini gerektirdi..
İnternet güvenliği konusunda paranoyak mısın? Facebook’un şu anki durumu ve genel olarak çevrimiçi güvenlik hakkında yorumlarınızı söyleyin!
Resim Kredisi: Symantec