La società di sicurezza Symantec ha accusato Facebook di lasciare i dati degli utenti finali aperti a terze parti e inserzionisti in centinaia di migliaia di applicazioni.
Il problema deriva dai "token di accesso" che agiscono come chiavi di riserva all'interno delle applicazioni di Facebook, e il problema non è stato rilevato "nel corso degli anni", secondo la società di sicurezza.
“Terze parti, in particolare inserzionisti, hanno accidentalmente avuto accesso agli account degli utenti di Facebook, tra cui profili, fotografie, chat e aveva anche la possibilità di postare messaggi ed estrarre informazioni personali", ha detto Nishant Doshi sul blog ufficiale di Symantec, anche se ha ammesso di non avere prove che terzi abbiano utilizzato la falla di sicurezza.
Non esiste un buon modo per stimare quanti token di accesso sono già stati divulgati dal rilascio delle applicazioni di Facebook nel 2007
“Le applicazioni iFrame di Facebook hanno inavvertitamente fatto trapelare token di accesso a terze parti come inserzionisti o piattaforme analitiche. Stimiamo che nel corso degli anni centinaia di migliaia di applicazioni potrebbero aver inavvertitamente fatto trapelare milioni di token di accesso a terze parti”.
Sebbene Facebook abbia affermato che il rapporto di Symantec conteneva "imprecisioni", il social network ha affermato di averlo fatto da allora ha chiuso il buco e non credeva che terze parti avessero utilizzato l'invito aperto all'applicazione raid dati.
“Abbiamo condotto un'indagine approfondita che non ha rivelato alcuna prova di questo problema con conseguente privato di un utente informazioni condivise con terze parti non autorizzate", ha detto a Reuters la portavoce di Facebook Malorie Lucich in un dichiarazione.
Tuttavia, secondo Symantec, i data scraper e altre società di informazioni personali potrebbero ancora utilizzare i token che sono già trapelati nel corso degli anni.
"Temiamo che molti di questi token possano essere ancora disponibili nei file di registro di server di terze parti o ancora attivamente utilizzati dagli inserzionisti", ha affermato Doshi.
“Gli utenti di Facebook interessati possono modificare le loro password di Facebook per invalidare i token di accesso trapelati. Non esiste un buon modo per stimare quanti token di accesso sono già stati divulgati dal rilascio delle applicazioni di Facebook nel 2007".
Symentec ha affermato che i token di accesso erano "come chiavi di riserva concesse da te all'applicazione Facebook". Le applicazioni possono utilizzare questi token o chiavi per eseguire determinate azioni per conto dell'utente o per accedere al profilo dell'utente, ha affermato la società.
