Pull to refresh

Эксперты Symantec обнаружили и помогли исправить серьезную ошибку в системе защиты персональных данных пользователей Facebook

Reading time 2 min
Views 579


При этом ошибка появилась не сейчас, она существовала долгие годы, и в течение этих лет приложения Facebook передавали частную информацию пользователей «третьим лицам», под которыми понимаются различные рекламные и маркетинговые конторы. Ошибку в системе защиты персональных данных пользователей обнаружили эксперты из Symantec, которые и провели общую оценку влияния обнаруженной уязвимости. Как оказалось, были затронуты сотни тысяч приложений, которые передавали тем самым третьим лицам идентификаторы пользователей.

Такие идентификаторы (tokens) получают приложения, когда пользователь устанавливает собственные права доступа для определенного приложения (например, право размещать сообщения на собственной стене, или право доступа к своим фото и другим личным данным). Как утверждается, затронуты приложения, которые работали со старой системой аутентификации, и таких приложений действительно насчитывается сотни тысяч.

Обо всем этом эксперты из Symantec рассказали уже после того, как помогли коллегам из Facebook закрыть уязвимость. Представители Symantec сообщают о том, что ошибка существовала с самого начала реализации приложений на Facebook, то есть с 2007 года. И сейчас, по мнению экспертов, на серверах различных компаний (та самая «третья сторона»), может находиться множество идентификаторов, которые активно используются рекламодателями/маркетологами.

Вообще говоря, проблемы, возможно, и не существовало бы, если бы Facebook не поддерживал так называемые оффлайновые ключи доступа (offline access tokens), которые являются валидными неограниченное количество времени. По словам команды Symantec, проблему легко решить руками самих пользователей, которые могут поменять пароли, в результате чего идентификаторы, хранимые на серверах третьей стороны, потеряют силу.

Как можно судить из слов экспертов Symantec, проблема действительно является очень серьезной. В то же время, пресс-секретарь Facebook, прокомментировавший данную ситуацию, считает, что нет доказательств использования указанной уязвимости в целях, которые могут нарушать политику безопасности Facebook. Представитель Facebook заявил, что социальная сеть никогда не предоставляет частную информацию пользователей рекламодателям. Кроме того, Facebook заявила о том, что старая система аутентификации уже более не используется.

Сейчас информацию о проблеме уже напечатали на своих страницах крупные издания, так что можно ожидать в скором времени массового проявления недовольства пользователей Facebook. Правда, отреагирует ли на это сама компания, неясно — ведь это уже далеко не первый раз, когда обнаруживаются ошибки в системе безопасности социальной сети №1.

Via Theregister
Tags:
Hubs:
If this publication inspired you and you want to support the author, do not hesitate to click on the button
+4
Comments 3
Comments Comments 3

Articles