Эксперты Symantec обнаружили ошибку в работе API Facebook-приложений, в результате которой в течение нескольких лет третьи стороны неумышленно (и, вероятно, неосознанно) получали доступ к персональным данным пользователей. По оценкам компании, проблема затронула сотни тысяч приложений.
Поскольку хорошие парни из Symantec сообщили о своей находке в Facebook и проблема уже устранена, здесь сочли возможным привести её технические подробности.
В общих словах данная проблема заключается в следующем. При использовании устаревшего, но ещё действующего метода аутентификации на Facebook, а также определённых устаревших, но тоже ещё действующих параметров приложения получают в ответ URL, в котором, помимо действительно нужных параметров, также присутствовал так называемый маркер доступа. Такой маркер доступа выдаётся приложению во время его установки, когда пользователь подтверждает своё желание предоставить приложению определённые права.
Разумеется, когда маркер доступа получает само приложение, в этом нет ничего страшного, ведь пользователь и так уже согласился предоставить ему определённый доступ к определённым данным. Но дело в том, что Facebook-приложения автоматически взаимодействуют с "третьими сторонами" — обычно системами онлайн-рекламы. И полученный от системы аутентификации URL, "не глядя", передают дальше — вместе с этим маркером доступа.
Symantec говорит, что только в апреле по такой схеме работало порядка 100 000 приложений. Но, поскольку ошибка присутствовала давно, проблема, скорее всего, затронула несколько сотен тысяч Facebook-приложений.
В Facebook признали, что данная ошибка имела место, но говорят об отсутствии свидетельств того, чтобы кто-либо из посторонних как-то использовал полученные маркеры доступа. Кроме того, здесь решили форсировать процесс перехода на более современную систему аутентификации: согласно опубликованному вчера плану, к сентябрю все приложения должны будут аутентифицироваться по OAuth 2.0, а к октябрю — получить SSL-сертификаты.
Надо заметить, что никаких извинений перед пользователями со стороны Facebook пока не прозвучало. Между тем, пусть и в результате ошибки, а совершенно посторонние люди долгое время получали доступ к данным пользователей, что противоречит пользовательскому соглашению социальной сети. Учитывая уроки истории, можно предположить, что в ближайшее время наиболее предприимчивые граждане из США подадут к "Фейсбуку" групповой иск в расчёте на компенсацию.
Источник: Вебпланета
|
