İlan
![Facebook Sessizce Devasa Bir Güvenlik Deliği Açıyor, Milyonlarca Kişi Etkileniyor [Haber] facebook logo 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook, Symantec'in milyonlarca sızdırılmış “erişim jetonu” üzerinde yaptığı iddiaları doğruladı. Bu belirteçler bir uygulamanın kişisel bilgilere erişmesini ve profiller üzerinde değişiklik yapmasını sağlar, temelde üçüncü taraflara profil bilgilerinize, fotoğraflarınıza, duvarınıza ve mesajlar.
Bu üçüncü tarafların (çoğunlukla reklamverenlerin) güvenlik açığını bilip bilmediği doğrulanmadı, ancak Facebook Symantec'e kusurun giderildiğini söyledi. Bu anahtarlar aracılığıyla verilen erişim, kullanıcıların kişisel verilerini incelemek için bile kullanılabilir ve güvenlik açığının Facebook uygulamaları başlatıldığında 2007'ye kadar çıkabileceğine dair kanıtlar olabilir.
Symantec çalışanı Nishant Doshi Blog yazısı:
“Nisan 2011 itibariyle 100.000'e yakın başvurunun bu sızıntıyı mümkün kıldığını tahmin ediyoruz. Yıllar içinde yüzbinlerce uygulamanın yanlışlıkla üçüncü taraflara milyonlarca erişim jetonu sızdırmış olabileceğini tahmin ediyoruz..”
Oldukça Sony
Erişim belirteçleri, bir kullanıcı bir uygulama yüklediğinde ve hizmete profil bilgilerine erişim izni verdiğinde verilir. Çoğu uygulama, kullanıcı yeni bir parola ayarlayana kadar değişmeyecek bir çevrimdışı erişim anahtarı ister, ancak çoğu zaman erişim anahtarlarının süresi dolar.
Katı OAUTH2.0 kimlik doğrulama yöntemleri kullanan Facebook'a rağmen, bazı eski kimlik doğrulama şemaları hala kabul edilmektedir ve buna karşılık binlerce uygulama tarafından kullanılmaktadır. Bu uygulamalar, yanlışlıkla üçüncü taraflara bilgi sızdırmış olabilecek eski güvenlik yöntemlerini kullanır.
Nishant açıklıyor:
“Uygulama, kullanıcıyı bilinen uygulama izni iletişim kutusuna yönlendirmek için istemci tarafı yönlendirme kullanıyor. Bu dolaylı sızıntı, uygulama eski bir Facebook API'sini kullanıyorsa ve yönlendirme kodlarının bir parçası olarak şu kullanımdan kaldırılmış parametreleri “return_session = 1” ve “session_version = 3 ″” içeriyorsa meydana gelebilir.
![Facebook Sessizce Devasa Bir Güvenlik Deliği Açıyor, Milyonlarca Kişi Etkileniyor [Haber] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Bu parametreler kullanılmışsa (yukarıda resmedilmiştir), Facebook, URL içinde erişim belirteçleri içeren bir HTTP isteği döndürür. Yönlendirme şemasının bir parçası olarak, bu URL, üçüncü taraf reklamverenlere, erişim belirteciyle birlikte (aşağıda resmedilmiştir) aktarılır.
![Facebook Sessizce Devasa Bir Güvenlik Deliği Açıyor, Milyonlarca Kişi Etkileniyor [Haber] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Erişim anahtarlarının iyi ve gerçekten sızdırıldığından endişe duyan kullanıcılar, jetonu otomatik olarak sıfırlamak için şifrelerini hemen değiştirmelidir.
Revize edilmiş uygulama kimlik doğrulama yöntemlerinin o zamandan beri var olmasına rağmen, resmi Facebook blogunda ihlalle ilgili hiçbir haber yoktu gönderildi tüm sitelerin ve uygulamaların OAUTH2.0'a geçmesini gerektiren geliştiriciler blogunda.
İnternet güvenliği konusunda paranoyak musunuz? Yorumlarda Facebook'un mevcut durumu ve çevrimiçi güvenlik hakkında söz sahibi olun!
İmaj Kredisi: Symantec
Tim, Avustralya'nın Melbourne şehrinde yaşayan serbest yazar. Onu Twitter'da takip edebilirsiniz.
