Propaganda
![Facebook corrige silenciosamente uma enorme falha de segurança, milhões de pessoas potencialmente afetadas [Notícias] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
O Facebook confirmou as alegações feitas pela Symantec sobre milhões de "tokens de acesso" vazados. Esses tokens permitem que um aplicativo acesse informações pessoais e faça alterações nos perfis, essencialmente fornecer a terceiros a “chave reserva” para as informações do seu perfil, fotografias, parede e mensagens.
Não está confirmado se esses terceiros (principalmente anunciantes) sabiam da falha de segurança, embora o Facebook tenha dito à Symantec que a falha foi corrigida. O acesso concedido por essas chaves pode até ter sido usado para extrair dados pessoais dos usuários, com evidências de que a falha de segurança pode ocorrer em 2007 quando os aplicativos do Facebook foram lançados.
O funcionário da Symantec, Nishant Doshi, disse em um publicação no blog:
“Estimamos que, em abril de 2011, cerca de 100.000 aplicativos permitissem esse vazamento. Estimamos que, ao longo dos anos, centenas de milhares de aplicativos possam ter vazado inadvertidamente milhões de tokens de acesso a terceiros.”
Não é exatamente a Sony
Os tokens de acesso são concedidos quando um usuário instala um aplicativo e concede ao serviço acesso às informações de seu perfil. Geralmente, as chaves de acesso expiram com o tempo, embora muitos aplicativos solicitem uma chave de acesso offline que não será alterada até que um usuário defina uma nova senha.
Apesar do Facebook usar métodos sólidos de autenticação OAUTH2.0, vários esquemas de autenticação mais antigos ainda são aceitos e usados por milhares de aplicativos. São esses aplicativos, usando métodos de segurança desatualizados, que podem ter inadvertidamente vazado informações para terceiros.
Nishant explica:
“O aplicativo usa um redirecionamento do lado do cliente para redirecionar o usuário para a caixa de diálogo de permissão do aplicativo familiar. Esse vazamento indireto pode ocorrer se o aplicativo usar uma API herdada do Facebook e tiver os seguintes parâmetros preteridos, “return_session = 1” e “session_version = 3 ″, como parte do código de redirecionamento”.
![Facebook corrige silenciosamente uma enorme falha de segurança, milhões de pessoas potencialmente afetadas [Notícias] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Caso esses parâmetros tenham sido usados (na foto acima), o Facebook retornará uma solicitação HTTP contendo tokens de acesso na URL. Como parte do esquema de referência, esse URL é repassado a anunciantes terceirizados, completo com o token de acesso (foto abaixo).
![Facebook corrige silenciosamente uma enorme falha de segurança, milhões de pessoas potencialmente afetadas [Notícias] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Os usuários preocupados com o fato de suas chaves de acesso terem sido bem e realmente vazadas devem alterar suas senhas imediatamente para redefinir automaticamente o token.
Não houve notícias da violação no blog oficial do Facebook, embora os métodos revisados de autenticação de aplicativos tenham desde então foi publicado no blog dos desenvolvedores, exigindo que todos os sites e aplicativos mudem para OAUTH2.0.
Você está paranóico com a segurança da Internet? Dê sua opinião sobre o estado atual do Facebook e a segurança online em geral nos comentários!
Crédito de imagem: Symantec
Tim é um escritor freelancer que vive em Melbourne, na Austrália. Você pode segui-lo no Twitter.
