Bezpečnostná firma Symantec obvinila Facebook, že v státisícoch aplikácií ponecháva údaje koncových používateľov otvorené tretím stranám a inzerentom.
Problém pramení z „prístupových tokenov“, ktoré fungujú ako náhradné kľúče v aplikáciách Facebooku, a podľa bezpečnostnej firmy tento problém zostal „v priebehu rokov“ neodhalený.
„Tretie strany, najmä inzerenti, mali náhodne prístup k účtom používateľov Facebooku vrátane profily, fotografie, chat a tiež mal možnosť uverejňovať správy a dolovať osobné informácie,“ povedal Nishant Doshi na oficiálny blog Symantec, hoci priznal, že nemá žiadne dôkazy o tom, že by tretie osoby využili bezpečnostnú chybu.
Neexistuje dobrý spôsob, ako odhadnúť, koľko prístupových tokenov už uniklo od vydania Facebook aplikácií v roku 2007
„Facebookové aplikácie iFrame neúmyselne unikli prístupové tokeny tretím stranám, ako sú inzerenti alebo analytické platformy. Odhadujeme, že v priebehu rokov mohli státisíce aplikácií neúmyselne uniknúť miliónom prístupových tokenov tretím stranám.“
Hoci Facebook uviedol, že správa Symantecu obsahuje „nepresnosti“, sociálna sieť uviedla, že odvtedy áno uzavrel dieru a neveril, že tretie strany využili otvorenú pozvánku na nájazd údajov.
„Vykonali sme dôkladné vyšetrovanie, ktoré neodhalilo žiadne dôkazy o tomto probléme, ktorý by viedol k súkromiu používateľa informácie zdieľané s neoprávnenými tretími stranami,“ povedala pre agentúru Reuters hovorkyňa Facebooku Malorie Lucichová vyhlásenie.
Podľa spoločnosti Symantec by však škrabky údajov a iné spoločnosti poskytujúce osobné informácie mohli stále používať tokeny, ktoré už v priebehu rokov unikli.
"Obávame sa, že veľa z týchto tokenov môže byť stále dostupných v protokolových súboroch serverov tretích strán alebo ich stále aktívne používajú inzerenti," povedal Doshi.
„Znepokojení používatelia Facebooku môžu zmeniť svoje heslá na Facebooku, aby znehodnotili uniknuté prístupové tokeny. Neexistuje dobrý spôsob, ako odhadnúť, koľko prístupových tokenov už uniklo od vydania Facebook aplikácií v roku 2007.
Spoločnosť Symentec uviedla, že prístupové tokeny sú „ako náhradné kľúče, ktoré ste poskytli aplikácii Facebook“. Aplikácie môžu použiť tieto tokeny alebo kľúče na vykonávanie určitých akcií v mene používateľa alebo na prístup k profilu používateľa, uviedla spoločnosť.
