Експерти Symantec виявили і допомогли виправити серйозну помилку в системі захисту персональних даних користувачів Facebook

Експерти Symantec виявили і допомогли виправити серйозну помилку в системі захисту персональних даних користувачів Facebook

При цьому помилка з'явилася не зараз, вона існувала довгі роки, і протягом цих років додатки Facebook передавали приватну інформацію користувачів «третім особам», під якими розуміються різні рекламні та маркетингові контори. Помилку в системі захисту персональних даних користувачів виявили експерти з Symantec, які і провели загальну оцінку впливу виявленої вразливості. Як виявилося, були порушені сотні тисяч додатків, які передавали тим самим третім особам ідентифікатори користувачів.


Такі ідентифікатори (tokens) отримують програми, коли користувач встановлює власні права доступу для певної програми (наприклад, право розміщувати повідомлення на власній стіні, або право доступу до своїх фото та інших особистих даних). Як стверджується, порушені додатки, які працювали зі старою системою аутентифікації, і таких додатків дійсно налічується сотні тисяч.

Про все це експерти з Symantec розповіли вже після того, як допомогли колегам з Facebook закрити вразливість. Представники Symantec повідомляють про те, що помилка існувала з самого початку реалізації додатків на Facebook, тобто з 2007 року. І зараз, на думку експертів, на серверах різних компаній (та сама «третя сторона»), може знаходитися безліч ідентифікаторів, які активно використовуються рекламодавцями/маркетологами.

Взагалі кажучи, проблеми, можливо, і не існувало б, якби Facebook не підтримував так звані офлайнові ключі доступу (offline access tokens), які є валідними необмежену кількість часу. За словами команди Symantec, проблему легко вирішити руками самих користувачів, які можуть поміняти паролі, в результаті чого ідентифікатори, що зберігаються на серверах третьої сторони, втратять силу.

Як можна судити зі слів експертів Symantec, проблема дійсно є дуже серйозною. Водночас, прес-секретар Facebook, який прокоментував дану ситуацію, вважає, що немає доказів використання зазначеної вразливості в цілях, які можуть порушувати політику безпеки Facebook. Представник Facebook заявив, що соціальна мережа ніколи не надає приватну інформацію користувачів рекламодавцям. Крім того, Facebook заявила про те, що стара система аутентифікації вже більше не використовується.

Зараз інформацію про проблему вже надрукували на своїх сторінках великі видання, так що можна очікувати незабаром масового прояву невдоволення користувачів Facebook. Правда, чи відреагує на це сама компанія, неясно - адже це вже далеко не перший раз, коли виявляються помилки в системі безпеки соціальної мережі № 1.

Image