2011-05-13 13:54:08

Sigurnosni propust na Facebooku

Poznata tvrtka za računalnu sigurnost Symantec, tvrdi da je na web sjedištu Facebooka postojao programski "bug", koji je pružao mogućnost uvida u privatne podatke njegovih korisnika. Prema Symantecu, Facebook IFRAME aplikacije su trećim stranama, poput oglašivača, nehotice odavale pristupne tokene (niz brojeva i slova), koje se koristi za pristupanje Facebook računima preko web preglednika.

Naime, tijekom procesa instalacije aplikacije, ona od korisnika prvo traži da se dozvoli instalacija. Nakon toga, aplikacija dohvaća pristupni token kojim može pristupiti korisničkim informacijama ili izvoditi određene radnje umjesto korisnika. Obzirom da većina tokena istječe nakon kratkog vremena, aplikacija svejedno može zatražiti "offline" pristupne tokene. Tada ih mogu koristiti sve dok korisnik ne promijeni svoju lozinku, pa čak i kada nije prijavljen na svoj Facebook račun. Korisnike Facebooka se upućuje da promijene svoje lozinke čime će poništiti valjanost pristupnih tokena. Nakon što je Symantec prijavio Facebooku otkriveni propust, iz Facebooka su potvrdili da je isti ispravljen prelaskom na novi autorizacijski sustav OAuth 2.0. Bez obzira na ispravak, korisnici se pozivaju na oprez.

Više informacija o sigurnosti, kao i o mnogim korisnim alatima, potražite na stranicama Nacionalnog CERT-a.


Javni web CARNeta