Facebook可能无意中将用户的个人信息泄露给了第三方

近期涉及Facebook可能无意中将用户的个人信息泄露给了第三方内容备受瞩目，很多读者对此也很有兴趣，现在给大家罗列关于Facebook可能无意中将用户的个人信息泄露给了第三方最新消息。

安全公司发现，Facebook可能无意中将用户的个人信息泄露给了第三方。泄露可能是社交网络巨头最严重的隐私失误之一。

赛门铁克的NishantDosti于5月10日在赛门铁克安全响应博客上写道，某些Facebook应用程序正在将“访问令牌”泄漏给广告商等第三方，从而使他们能够访问聊天记录和照片等个人资料。大多数访问令牌已过期在两个小时内，但是一些令牌可以离线工作，并且在用户更改密码之前一直有效，Doshi说。

赛门铁克表示，鼓励用户立即更改其密码。Doshi在Symantec博客上写道，更改密码会使这些令牌无效，并且等效于“更改锁”(在Facebook个人资料上)。

访问令牌的作用类似于用户帐户的“备用密钥”，使接收者可以访问用户个人资料并执行某些操作，例如阅读和发布Wall帖子以及访问朋友页面。即使用户未登录Facebook，脱机令牌也可以工作，并始终让应用程序和其他持有令牌的人访问配置文件数据。

Doshi写道：“我们估计，截至2011年4月，将近100,000个应用程序在造成这种泄漏。”赛门铁克团队估计，自2007年Facebook启动应用程序以来，“数十万个应用程序”可能泄漏了“数百万”这些令牌。

赛门铁克表示，FacebookIFRAME应用程序正在将令牌泄露给广告商和分析平台。在应用程序安装过程中，系统会提示用户向某些操作授予权限，例如写入墙和访问配置文件数据。用户单击“允许”后，应用程序将收到访问令牌，即所谓的备用密钥。如果应用程序使用Facebook的较旧的身份验证系统，并且在代码中使用了某些不推荐使用的参数，则Facebook将访问令牌发送到应用程序的主机。令牌显示在HTTP引荐来源网址字段中，该字段通常发送到广告商和分析公司。

赛门铁克研究员NishantDoshi在博客文章中写道：“这种访问令牌泄漏的影响已广为人知。”

根据赛门铁克的Doshi的说法，没有很好的方法来准确估计泄漏了多少个访问令牌，但是好消息是大多数开发人员甚至都不知道他们具有此访问权限。赛门铁克上个月初将这一问题通知了Facebook，这家社交网络巨头采取了“纠正措施”以“消除该问题”。

Facebook承认存在问题并且已得到解决，但是Symantec的帖子不准确，因为从未与未经授权的各方共享该信息。

该公司在5月11日发布在Facebook开发者博客上的帖子中宣布了其开发者路线图的更新时，提到了这种情况。Facebook平台团队成员NatikShah在博客上写道，Facebook一直在与Symantec合作，以识别我们的身份验证流程中的问题，以确保它们更安全。

默认情况下，Facebook使用OAUTH2.0进行身份验证，以保护应用程序的安全，但是许多应用程序继续使用较旧的身份验证系统和HTTP。Shah说：“由于使用我们的旧版身份验证系统的应用程序数量众多，因此我们需要考虑到向[OAUTH2.0]的过渡。”

与Symantec合作之后，Facebook决定所有开发人员必须在9月1日之前将其站点和应用程序切换到更安全的系统。该软件开发工具包的更新将于7月1日发布，并且所有应用程序都必须支持SSL(安全套接字层)，因此使用HTTPS的用户也可以使用应用程序。

莎阿(Shah)写道：“我们相信这些变化可以为您的应用程序用户提供更好，更安全的体验。”

据Facebook称，用户每天安装2000万个Facebook应用程序。

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。