Tinder- og Version2-profiler er næppe kompromitterede som følge af Facebook-bommert

Illustration: newsroom.fb.com
Intet tyder på, at gigantisk sikkerhedshul hos Facebook har været misbrugt til at få adgang til tredjepartstjenester.

Der er ikke noget, der tyder på, at det store sikkerhedshul hos Facebook har været misbrugt til at opnå adgang til tredjepartstjenester, hvor det sociale medie bliver anvendt til at logge ind med.

Det fremgår af et indlæg fra Vice President of Product Management ved Facebook Guy Rosen, som The Register har læst.

»Vi har nu analyseret vores logs i forhold til alle tredjeparts-apps, der har været installeret eller logget ind under angrebet, som vi opdagede sidste uge. Undersøgelsen har foreløbigt ikke vist, at angribere har tilgået nogen apps, der anvender Facebook Login,« står der i indlægget hos Facebook med Rosen som afsender.

Det er eksempelvis muligt at logge på Version2 og dating-tjenesten Tinder via en Facebook-profil.

Hvad omfanget af tredjeparts-apps angår, så henviser The Register henviser til en rapport fra universitetet i Illinois, Chicago. (PDF) Rapporten er fra august og handler om de mulige sikkerhedsproblemer ved single-sign-on-løsninger som Facebook. Her fremgår det, at der er mere end 40.000 tredjeparts-apps, hvor Facebook bliver brugt som adgangsnøgle.

90 mio. Facebook-profiler

Forleden kom det frem, at Facebook i et års tid har haft et sikkerhedshul, hvor det har været muligt for uvedkommende at tilgå såkaldte access tokens i HTML-koden.

Facebook har tidligere forklaret access tokens som en slags nøgler, der giver adgang til en profil, så brugeren slipper for at taste kodeord ind, hver gang der logges på.

Tæt på 50 mio. profiler er i den forbindelse blevet påvirket af sårbarheden, har Facebook oplyst. Virksomheden har endnu ikke meldt ud, hvad det konkret indebærer.

Det har også været fremme, at de eksponerede access tokens ikke bare har givet adgang til profiler på det sociale medie, de har også kunnet bruges til at opnå adgang til tredjepartstjenester, hvor Facebook bliver brugt som autentifikation.

Læs også: Denne besked indikerer at din Facebook-konto kan være omfattet af gigahack

Angrebet har kunnet lade sig gøre via funktionen 'Vis som', der gør det muligt for en bruger at se, hvordan en anden bruger ser ens profil.

Selvom Facebook foreløbig mener, at omkring 50 mio. profiler i et eller andet omfang er blevet kompromitteret som følge af angrebet, så har virksomheden - efter eget udsagn - for at være på den sikre side valgt at nulstille access tokens for 90 mio. brugere.

Tallet dækker over de brugerprofiler, der i løbet af det seneste års tid er blevet anvendt i 'Vis som'-sammenhæng.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Okay, ENTEN har Facebook ikke opdaget/indrømmet det endnu, eller også står der en større kriminel bande et sted i verden og siger "Satans også, hvorfor kom vi ikke på dén idé med at høste Tinder-data også, nu vi var i gang!?"

Log ind eller Opret konto for at kommentere