Évekig lyukacsos volt a Facebook
A Symantec szerint hibás azonosítást használt évekig a közösségi oldal, ami miatt felhasználók adatai szivároghattak ki. A Facebook elismerte a hibát, de minden mást tagad.
Kategóriák: Biztonság
Szerző: Molnár József
2011. május 11.
"Külső felek, főként a hirdetők hozzáférhettek a Facebook felhasználók adataihoz, beleértve a profiljuk információit, képeiket, csevegési előzményeiket, valamint írhattak a nevükben és más fontos információt is kibányázhattak az adataik közül" - írja Nishant Doshi, a Symantec mérnöke az IT-védelmi cég hivatalos blogjában. Szerencsére a beszámolója szerint ezt az azonosításhoz szükséges tokenes rést az alkalmazások készítői nem használták ki, mivel nincs arra bizonyíték, hogy ezen adatkezelési hanyagsággal bármely meghatalmazott külső fél visszaélt volna. A nem meghatalmazott felekről azonban ez nem állítható a Symantec szerint.
A Symantec vádjai megalapozottak, mivel még a bejelentés előtt felvették a közösségi oldal képviselőivel a kapcsolatot, akik megtették a szükséges lépéseket és befoltozták a hibás API-t (Application Programming Interface). Az eset tanulságos, mivel a vírusvédelmi cég számításai szerint 2011 áprilisában legalább 100 ezer alkalmazás esetén kihasználható lett volna ez a hiba. "Számításunk szerint az elmúlt évek során, több száz vagy ezer alkalmazástól kerülhettek olyan hozzáférések, amelyeket más - nem jogosult - alkalmazások felhasználhattak" - írja Nishant Doshi.
"Sajnos a Symantec beszámolója néhány pontatlanságot tartalmaz. Végeztünk az üggyel kapcsolatban egy alapos vizsgálatot, amely során kiderült, hogy egy végfelhasználói adat sem került nem meghatalmazott külső félhez" - írja közleményében Malorie Lucich, a Facebook szóvivője, aki emellett megerősítette, hogy már korrigálták a problémás API-t.
