image

Facebook lekte massaal privégegevens gebruikers

woensdag 11 mei 2011, 10:26 door Redactie, 5 reacties

Facebook heeft per ongeluk de privégegevens van gebruikers gelekt, die daardoor mogelijk in handen van adverteerders zijn gekomen, zo waarschuwt beveiligingsbedrijf Symantec. Het ging om toegang tot profielen, foto's en chatberichten. Daarnaast konden derden ook berichten plaatsen en persoonlijke informatie verzamelen. "Gelukkig hadden deze derde partijen niet door dat ze toegang tot deze informatie hadden", zegt Nishant Doshi.

Het probleem deed zich voor bij Facebook Iframe applicaties, die per ongeluk de tokens naar deze partijen of analysesoftware lekten. Symantec schat dat het lek bij zo'n 100.000 applicaties aanwezig was en dat de afgelopen jaren miljoenen toegangstokens naar derde partijen gelekt zijn.

Wachtwoord
De Facebook applicaties genereren deze tokens om bepaalde acties in naam van de gebruiker uit te voeren of toegang tot het gebruikersprofiel te krijgen. De meeste tokens verlopen na een bepaalde tijd, de applicatie kan echter een offline token aanvragen, waarmee het mogelijk is om die tokens te blijven gebruiken, ook al is de gebruiker niet ingelogd. De toegang eindigt pas als de gebruiker zijn wachtwoord wijzigt. Doordat Facebook oudere authenticatiemethoden ondersteunde, was het mogelijk dat deze tokens als onderdeel van een HTTP request bij een adverteerder terechtkwamen.

"Er is geen goede manier om te schatten hoeveel tokens sinds de release van Facebook applicaties in 2007 zijn gelekt", zegt Doshi. Hij vreest dat veel tokens nog steeds in de logbestanden van derde partijen beschikbaar zijn of zelfs actief door adverteerders gebruikt worden. Gebruikers die zich zorgen maken krijgen dan ook het advies om hun wachtwoord te wijzigen, omdat de tokens zo ongeldig worden.

Reacties (5)
11-05-2011, 10:32 door MrTre
Per ongeluk of.....?
11-05-2011, 11:31 door Anoniem
Kon je op wachten...
11-05-2011, 11:49 door NumesSanguis
Dit soort berichten herinneren me altijd weer waarom ik geen Facebook gebruik, thx hiervoor.

Whahaha ik wou die bovenstaande zin poste, dus ik drukte op inloggen en ik kreeg dit bericht:
"Invalid form-token. Make sure to always submit a form-token when making a post request."
Geniale timing, precies bij dit artikel :P
11-05-2011, 22:30 door [Account Verwijderd]
[Verwijderd]
15-05-2011, 22:53 door Anoniem
Vraag me af hoeveel geld er "per ongeluk" is overgemaakt naar de personen die dit per ongeluk hebben gelekt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.