الإعلانات

فيسبوك يرقع بهدوء حفرة أمنية ضخمة ، الملايين من المحتمل أن يتأثروا [الأخبار] facebook logo 300x300أكد فيسبوك مزاعم شركة سيمانتك حول ملايين "رموز الدخول" المسربة. تمكن هذه الرموز المميزة أحد التطبيقات من الوصول إلى المعلومات الشخصية وإجراء تغييرات على الملفات الشخصية ، بشكل أساسي منح الأطراف الثالثة "مفتاح احتياطي" لمعلومات ملفك الشخصي وصورك وحوائطك الرسائل.

لم يتم تأكيد ما إذا كانت هذه الأطراف الثالثة (معظمهم من المعلنين) على علم بالثغرة الأمنية ، على الرغم من أن Facebook أخبر شركة Symantec منذ ذلك الحين أن العيب قد تم إصلاحه. كان من الممكن استخدام الوصول الممنوح عبر هذه المفاتيح لاستخراج البيانات الشخصية للمستخدمين ، مع وجود دليل على أن العيب الأمني ​​قد يعود إلى عام 2007 عندما تم إطلاق تطبيقات Facebook.

وقال نيشانت دوشي موظف سيمانتيك في مشاركة مدونة:

نقدر أنه اعتبارًا من أبريل 2011 ، كان ما يقرب من 100000 تطبيق تمكّن من هذا التسرب. نقدر أنه على مر السنين ، ربما تكون مئات الآلاف من التطبيقات قد سربت عن غير قصد ملايين من رموز الوصول إلى أطراف ثالثة.”

ليس تماما سوني

يتم منح رموز الدخول عندما يقوم المستخدم بتثبيت تطبيق ويمنح الخدمة الوصول إلى معلومات ملفه الشخصي. عادةً ما تنتهي صلاحية مفاتيح الوصول بمرور الوقت ، على الرغم من أن العديد من التطبيقات تطلب مفتاح وصول دون اتصال والذي لن يتغير حتى يقوم المستخدم بتعيين كلمة مرور جديدة.

instagram viewer

على الرغم من استخدام Facebook لطرق مصادقة OAUTH2.0 قوية ، لا يزال هناك عدد من أنظمة المصادقة القديمة لا تزال مقبولة وتستخدمها آلاف التطبيقات. هذه التطبيقات ، باستخدام أساليب أمنية قديمة قد تكون سربت معلومات عن غير قصد إلى أطراف ثالثة.

يشرح نيشانت:

"يستخدم التطبيق إعادة توجيه من جانب العميل لإعادة توجيه المستخدم إلى مربع حوار إذن التطبيق المألوف. يمكن أن يحدث هذا التسرب غير المباشر إذا كان التطبيق يستخدم واجهة برمجة تطبيقات Facebook قديمة ولديه المعلمات المتروكة التالية ، "return_session = 1" و "session_version = 3 ″ ، كجزء من كود إعادة التوجيه الخاص بهم."

فيسبوك يرقع بهدوء حفرة أمنية ضخمة ، الملايين من المحتمل أن يتأثروا [أخبار] sym fb1

إذا تم استخدام هذه المعلمات (في الصورة أعلاه) ، فسوف يُرجع Facebook طلب HTTP الذي يحتوي على رموز وصول داخل عنوان URL. كجزء من مخطط الإحالة ، يتم تمرير عنوان URL هذا بدوره إلى معلنين من جهات خارجية ، مع استكماله برمز الوصول (في الصورة أدناه).

فيسبوك يرقع بهدوء حفرة أمنية ضخمة ، الملايين من المحتمل أن يتأثروا [أخبار]

يجب على المستخدمين الذين يشعرون بالقلق من أن مفاتيح الوصول الخاصة بهم قد تم تسريبها بشكل جيد حقًا تغيير كلمات المرور الخاصة بهم على الفور لإعادة تعيين الرمز تلقائيًا.

لم يكن هناك أي أخبار عن الخرق على مدونة Facebook الرسمية ، على الرغم من أن طرق مصادقة التطبيق المنقحة منذ ذلك الحين تم نشره على مدونة المطورين ، تتطلب من جميع المواقع والتطبيقات التبديل إلى OAUTH2.0.

هل أنت مصاب بجنون العظمة بشأن أمن الإنترنت؟ شارك برأيك حول الوضع الحالي للفيس بوك والأمن عبر الإنترنت بشكل عام في التعليقات!

حقوق الصورة: سيمانتيك

تيم كاتب مستقل يعيش في ملبورن بأستراليا. يمكنك متابعته على تويتر.