Facebook remueve silenciosamente un agujero de seguridad masivo, millones de personas potencialmente afectadas [Noticias]
Facebook ha confirmado las afirmaciones hechas por Symantec sobre millones de filtrados “tokens de acceso”. Estos tokens permiten que una aplicación acceda a información personal y realice cambios en los perfiles, esencialmente otorgándole a terceros el “llave de reserva” A su información de perfil, fotografías, muro y mensajes..
No se ha confirmado si estos terceros (en su mayoría anunciantes) sabían sobre el agujero de seguridad, aunque Facebook desde entonces le dijo a Symantec que la falla ha sido corregida. El acceso otorgado a través de estas claves podría incluso haber sido utilizado para extraer datos personales de los usuarios, con evidencia de que la falla de seguridad podría remontarse a 2007 cuando se lanzaron las aplicaciones de Facebook..
El empleado de Symantec Nishant Doshi dijo en una publicación del blog:
“Estimamos que a partir de abril de 2011, cerca de 100,000 aplicaciones estaban habilitando esta fuga. Estimamos que a lo largo de los años, cientos de miles de aplicaciones pueden haber filtrado inadvertidamente millones de tokens de acceso a terceros..”
No bastante Sony
Los tokens de acceso se otorgan cuando un usuario instala una aplicación y le otorga al servicio acceso a su información de perfil. Por lo general, las claves de acceso caducan con el tiempo, aunque muchas aplicaciones solicitan una clave de acceso sin conexión que no cambiará hasta que un usuario establezca una nueva contraseña.
A pesar de que Facebook utiliza métodos de autenticación sólidos OAUTH2.0, todavía se aceptan varios esquemas de autenticación más antiguos que, a su vez, son utilizados por miles de aplicaciones. Son estas aplicaciones, que utilizan métodos de seguridad obsoletos que pueden haber filtrado información a terceros sin darse cuenta..
Nishant explica:
“La aplicación utiliza una redirección del lado del cliente para redirigir al usuario al cuadro de diálogo de permiso de la aplicación familiar. Esta fuga indirecta podría ocurrir si la aplicación utiliza una API de Facebook heredada y tiene los siguientes parámetros en desuso, “return_session = 1” y “session_version = 3 ", como parte de su código de redireccionamiento.”
Si se hubieran usado estos parámetros (en la imagen de arriba), Facebook devolvería una solicitud HTTP que contiene tokens de acceso dentro de la URL. Como parte del esquema de referencia, esta URL a su vez se pasa a terceros anunciantes, con el token de acceso (que se muestra a continuación).
Los usuarios que estén preocupados de que sus claves de acceso hayan sido bien y hayan sido realmente filtradas deben cambiar sus contraseñas inmediatamente para restablecer automáticamente el token..
No hubo noticias de la violación en el blog oficial de Facebook, aunque desde entonces se han publicado métodos de autenticación de aplicaciones revisados en el blog de desarrolladores, lo que requiere que todos los sitios y aplicaciones cambien a OAUTH2.0.
¿Estás paranoico acerca de la seguridad en Internet? Danos tu opinión sobre el estado actual de Facebook y la seguridad en línea en general en los comentarios.!
Crédito de la imagen: Symantec
Explorar más sobre: Facebook.