Facebook网站上编程错误可能不小心给广告商和其他访问个人信息的宝库,据赛门铁克安全研究人员。
他们周二公布的细节问题,称这可能影响近100000多年以来Facebook应用程序。
赛门铁克称,某些Facebook应用程序已经无意中给广告商访问令牌,数字和字母的字符串可以通过Web浏览器访问Facebook账户。“访问令牌就像“备用钥匙”颁发你Facebook的应用程序,“赛门铁克在一篇博客文章中说。“每个令牌或备用钥匙与选择的一组权限,喜欢读你的墙,访问你的朋友的资料,发布到你的墙,等等。”
分析:OAuth 2.0安全使用Facebook,其他人叫弱
用户习惯性地允许这种类型的访问Facebook应用程序,这样他们就可以做事情,如写在墙壁,但是通过这些令牌交给别人,应用程序开发人员不小心给广告商或在线分析公司得到这些信息。
“我们估计,多年来,成千上万的应用程序可能已经无意中向第三方泄露数以百万计的令牌,“赛门铁克说。Facebook代表未能立即置评。
的令牌被泄露是Facebook应用程序的url传递给广告商和其他人。不应该发生的。
Facebook开放其社交网络在2007年第三方Web开发人员,他们已经成为网站的巨大成功的关键。但安全专家表示,用户应该小心只授权Facebook应用,他们真正想要的。
赛门铁克称,尚不清楚是否有人意识到这个问题的存在,这是可能的,没有人利用错误来窥探用户。
Facebook现在已经固定的问题,但它仍然可以对用户来说是一个大问题,根据赛门铁克。这是因为这些令牌可能仍然在流通,存储在网络服务器日志文件或在其他地方。
其中一个访问令牌将继续工作,直到Facebook用户更改他的密码,所以赛门铁克称,有关Facebook用户应该改变他们的密码,如“改变锁”在他们的Facebook帐户。
这个问题不影响使用较新的OAUTH2.0 Facebook应用程序的身份验证系统,赛门铁克说。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com