Der er ikke noget, der tyder på, at det store sikkerhedshul hos Facebook har været misbrugt til at opnå adgang til tredjepartstjenester, hvor det sociale medie bliver anvendt til at logge ind med.
Det fremgår af et indlæg fra Vice President of Product Management ved Facebook Guy Rosen, som The Register har læst.
»Vi har nu analyseret vores logs i forhold til alle tredjeparts-apps, der har været installeret eller logget ind under angrebet, som vi opdagede sidste uge. Undersøgelsen har foreløbigt ikke vist, at angribere har tilgået nogen apps, der anvender Facebook Login,« står der i indlægget hos Facebook med Rosen som afsender.
Det er eksempelvis muligt at logge på Version2 og dating-tjenesten Tinder via en Facebook-profil.
Hvad omfanget af tredjeparts-apps angår, så henviser The Register henviser til en rapport fra universitetet i Illinois, Chicago. (PDF) Rapporten er fra august og handler om de mulige sikkerhedsproblemer ved single-sign-on-løsninger som Facebook. Her fremgår det, at der er mere end 40.000 tredjeparts-apps, hvor Facebook bliver brugt som adgangsnøgle.
90 mio. Facebook-profiler
Forleden kom det frem, at Facebook i et års tid har haft et sikkerhedshul, hvor det har været muligt for uvedkommende at tilgå såkaldte access tokens i HTML-koden.
Facebook har tidligere forklaret access tokens som en slags nøgler, der giver adgang til en profil, så brugeren slipper for at taste kodeord ind, hver gang der logges på.
Tæt på 50 mio. profiler er i den forbindelse blevet påvirket af sårbarheden, har Facebook oplyst. Virksomheden har endnu ikke meldt ud, hvad det konkret indebærer.
Det har også været fremme, at de eksponerede access tokens ikke bare har givet adgang til profiler på det sociale medie, de har også kunnet bruges til at opnå adgang til tredjepartstjenester, hvor Facebook bliver brugt som autentifikation.
Angrebet har kunnet lade sig gøre via funktionen 'Vis som', der gør det muligt for en bruger at se, hvordan en anden bruger ser ens profil.
Selvom Facebook foreløbig mener, at omkring 50 mio. profiler i et eller andet omfang er blevet kompromitteret som følge af angrebet, så har virksomheden - efter eget udsagn - for at være på den sikre side valgt at nulstille access tokens for 90 mio. brugere.
Tallet dækker over de brugerprofiler, der i løbet af det seneste års tid er blevet anvendt i 'Vis som'-sammenhæng.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
