شماره: IRCNE2011051110
فيس بوك يك حفره امنيتي را كه باعث ميشود گروههاي تبليغاتي و ساير شركتها به طور تصادفي از طريق token هاي "spare keys" به حسابهاي كاربران دسترسي پيدا كنند برطرف كرد. اين مشكل روز سه شنبه توسط سايمانتك افشا شده بود.
يكي از مهندسان ارشد نرم افزار در سايمانتك اظهار داشت كه اين مساله به فيس بوك اطلاع داده شده و اين شركت آن را تاييد كرده است. به گفته وي فيس بوك تغييراتي ايجاد كرده است كه از نشت اين token ها جلوگيري ميكند.
اين مهندس سايمانتك همچنين اظهار كرد كه تخمين زده ميشود كه تا آوريل 2011 حدود صد هزار برنامه اين نشت token را فعال كرده باشند. به گفته وي همچنين تخمين زده ميشود كه در طول سالهاي گذشته، صدها هزار برنامه به طور غير عمدي ميليونهاي token دسترسي به سايرين را نشت داده باشند.
يك سخنگوي فيس بوك اظهار داشت كه اين شركت هيچ شاهدي مبني بر به اشتراك گذاشته شدن اطلاعات خصوصي كاربران با ديگران مشاهده نكرده است و الزامات قراردادي، شركتهاي تبليغاتي و ساير توليد كنندگان را از دسترسي يا به اشتراك گذاردن اطلاعات كاربري منع مينمايد.
اين token ها به برنامه ها اجازه ميدهند كه فعاليتهاي خاصي را از طرف كاربر انجام دهند يا به پروفايل كاربر دسترسي پيدا كنند. اغلب token ها پس از مدت كوتاهي منقضي ميشوند، ولي برنامه ميتواند token هاي دسترسي آفلاين را درخواست نمايد كه به او اجازه ميدهد تا زماني كه كاربر كلمه عبور خود را تعويض كند، دسترسي خود را حفظ نمايد.
اين نشت زماني كه يك برنامه از يك واسط برنامه نويسي فيس بوك قديمي به جاي پروتكل اشتراك گذاري داده OAuth 2.0 استفاده ميكرد اتفاق مي افتاد. اگر پارامترهاي خاصي در كدنويسي مورد استفاده قرار ميگرفتند، اين token ها در يك URL به ميزبان برنامه ارسال ميشدند و از آنجا ميتوانستند از طريق برنامه هاي iFrame موجود در صفحه به شركتهاي تبليغاتي و پلتفورمهاي تحليلي نشت يابند.
به گفته اين مهندس سايمانتك، هيچ راه مناسبي براي تخمين تعداد token هاي دسترسي نشت يافته از زمان شروع به كار برنامه هاي فيس بوك در سال 2007 تا كنون وجود ندارد. ممكن است هنوز تعدادي از اين token ها در فايلهاي لاگ سرورهاي ديگران وجود داشته باشد يا به طور فعال توسط شركتهاي تبليغاتي در حال استفاده باشد.
كاربران فيس بوك ميتوانند كلمات عبور خود را تغيير داده و اين token هاي دسترسي را غير معتبر سازند.
- 2