ترميم نقص امنيتی فيس‌بوک

شماره: IRCNE2012111668
تاريخ: 16/08/91

فيس‌بوك يك حفره امنيتي را كه ممكن بود اجازه دهد برخي حساب‌هاي كاربري بدون كلمه عبور مورد دسترسي قرار گيرند برطرف كرد.
اين آسيب‌پذيري كه اطلاعات آن روز جمعه بر روي Hacker News قرار گرفته بود، به‌طور بالقوه مي‌توانست به يك فرد غيرمجاز اجازه دهد كه به حساب فيس‌بوك فرد ديگري دسترسي پيدا كند.
اين نقص امنيتي در ايميل‌هايي قرار داشت كه اين شبكه اجتماعي براي كاربران ارسال مي‌كند. اين ايميل‌ها حاوي لينك‌هايي بودند كه زماني كه بر روي آنها كليك مي‌شد، بدون نياز به احراز هويت و وارد كردن كلمه عبور، كاربر را مستقيما وارد حساب فيس‌بوك مي‌كردند. به گزارش Hacker News، اين ايميل‌ها مي‌توانند به راحتي از طريق يك درخواست جستجوي گوگل كشف گردند و 1.3 ميليون حساب كاربري فيس‌بوك در برابر اين نقص امنيتي آسيب‌پذير بودند.
اين درخواست‌هاي جستجو علاوه بر افشاي حساب‌هاي فيس‌بوك براي افراد غيرمجاز، آدرس‌هاي ايميل مرتبط با اين حساب‌ها را نيز نمايش مي‌دادند.
اكنون درخواست‌هاي جستجويي كه لينك‌هاي مذكور را پيدا مي‌كردند (اين لينك‌ها موقتي بوده و با يك بار كليك كردن، اعتبار خود را از دست مي‌دهند) توسط گوگل غيرفعال شده‌اند و ديگر هيچ نتيجه‌اي را نمايش نمي‌دهند.
يكي از مهندسان فيس‌بوك در Hacker News اظهار داشت كه فيس‌بوك اين لينك‌ها را به‌طور عمومي اشتراك نمي‌گذارد. بلكه اين لينك‌ها صرفا براي آدرس‌هاي ايميل دارنده حساب كاربري ارسال مي‌گردد و هرگز به طور عمومي در دسترس ديگران قرار نمي‌گيرد.
وي افزود كه براي اينكه يك موتور جستجو بتواند اين لينك‌ها را پيدا كند، بايد محتواي ايميل‌ها به‌صورت آنلاين ارسال شده باشد (براي مثال از طريق سايت‌هاي ايميل يا افرادي كه آدرس‌هاي ايميل آنها در ليست‌هاي ايميل با آرشيوهاي آنلاين قرار مي‌گيرد).
به گفته وي، اغلب لينك‌هاي موجود در نتايج جستجو تا كنون منقضي شده‌اند و فيس‌بوك نيز اين ويژگي را براي ساير لينك‌هايي كه افشا شده‌اند غيرفعال كرده است. همچنين حساب‌هاي افرادي كه به تازگي از طريق اين نقص امنيتي وارد حساب خود شده‌اند، در حال امن سازي است.