Acesso a centenas de milhares de contas do Facebook pode ter vazado

O acesso a centenas de milhares de contas do Facebook pode ter vazado acidentalmente devido a falhas em alguns aplicativos. A empresa de segurança Symantec descobriu que programas estavam inadvertidamente compartilhando tokens de acesso.

A Symantec estima que, até o mês passado, 100 mil aplicativos operavam com a falha. O Facebook respondeu afirmando que estÁ melhorando seus métodos de autenticação. "Nós estamos trabalhando com a Symantec para identificar problemas em nosso fluxo de autenticação para garantir que ele seja mais seguro," disse o representante do Facebook, Naitik Shah.

No relatório da Symantec, o representante da empresa, Nishant Doshi, explica como tokens de acesso são "como chaves reserva" para uma conta de usuÁrio do Facebook. Estas chaves normalmente são cedidas, com a permissão do usuÁrio, para permitir o funcionamento corretos de aplicativos.

Com as chaves, os apps podem acessar o perfil e as fotos dos usuÁrios, assim como postar mensagens em seu mural. O defeito recém descoberto no sistema de autenticação permite que estas "chaves reserva" fossem passadas a terceiros - provavelmente spammers.

"Nós estimamos que ao longo dos anos, centenas de milhares de aplicativos podem ter inadvertidamente vazado milhões de tokens de acesso para terceiros," disse Doshi no relatório da Symantec. "Felizmente estes terceiros podem não ter percebido que poderiam acessar estas informações."

- Continua após a publicidade -

O diretor de desenvolvimento do Facebook, Kevin Purdy, afirma que a falha não causou danos. "Nós conduzimos uma dura investigação que revelou não haver evidências de que esta falha tenha resultado no compartilhamento não autorizado de informações privadas de usuÁrios com terceiros," disse. "E ainda, este relatório ignora as obrigações contratuais de patrocinadores e desenvolvedores que os proíbe de obter ou compartilhar informação de usuÁrios de modo que viole nossas políticas.

Por padrão, novos aplicativos do Facebook precisam se autenticar usando o OAuth 2.0, um padrão aberto desenvolvido por diversos sites como Google e Twitter. Apesar dos aplicativos antigos serem encorajados a fazer a mudança, ela ainda não é obrigatória. A empresa estÁ agora trabalhando com os desenvolvedores para auxiliar na migração para o novo sistema.

Foi dado prazo até 1° de setembro para que os desenvolvedores adotem o OAuth 2.0

Assuntos
Tags
  • Redator: Alexandre Lunelli

    Alexandre Lunelli

    Estudante de Jornalismo na Universidade Federal de Santa Catarina (UFSC), Alexandre é um entusiasta da fotografia, música, e demais áreas que não cansem muito. Fã da comunidade opensource, e sonha com um mundo mais bonito, igualitário e sem o trabalho, mal que corrompe a humanidade.

A Activision acertou ao colocar músicas do Charlie Brown Jr. no Tony Hawk's 1+2

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.