Nezaželeno odtekanje podatkov s Facebooka tretjim stranem

Raziskovalci iz Symanteca so ugotovili, da so imele tretje osebe, še zlasti oglaševalci, ne glede na nastavitve zasebnosti dostop do osebnih podatkov na profilih uporabnikov Facebooka, vključivši fotografije, profilne podatke in zgodovino pomenkov. Facebook so o ranljivosti obvestili in ta jo je hitro zakrpal, a to ne spremeni dejstva, da je bila aktivna od leta 2007. K sreči zanjo oglaševalci večinoma niso vedeli.

Problem so zakuhale aplikacije za Facebook, ki se jih vsak dan namesti v 20 milijonih kopij. Aplikacije IFRAME do profila dostopijo s pomočjo žetonov (access token), ki delujejo kot 'rezervni ključi' z omejenimi privilegiji. Obstoji več vrst žetonov, uporabnik pa aplikaciji s klikom na gumb Dovoli omogoči njihovo pridobitev. Ko ima aplikacije žeton, lahko v imenu uporabnika brska po Facebooku, odgovarja na vabila, piše na zidove ipd. Trenutno se za ugotavljanje pristnosti uporablja OAUTH2.0, starejše aplikacije pa uporabljajo starejše sisteme. Ti lahko ob nepravilni implementaciji (ob uporabi zastarelih parametrov v starih API-jih) pri preusmerjanju v polju napotitelj (referral) nehote posredujejo žetone tretjim stranem, ki jih lahko zlorabijo za dostop do podatkov na Facebooku.

Čeprav je Facebook ranljivost odpravil, so vsi obstoječi žetoni še veljavni. Kogar skrbi za varnost profila, naj si zamenja vstopno geslo, s čimer avtomatično razveljavi vse žetone.