विज्ञापन
![फेसबुक चुपचाप एक व्यापक सुरक्षा छेद, लाखों संभावित रूप से प्रभावित [समाचार] फेसबुक लोगो 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
फेसबुक ने सिमेंटेक द्वारा "लीक टोकन" के लाखों से अधिक दावों की पुष्टि की है। ये टोकन व्यक्तिगत जानकारी तक पहुंचने और प्रोफाइल में बदलाव करने के लिए एक एप्लिकेशन को सक्षम करते हैं, अनिवार्य रूप से तीसरे पक्ष को आपकी प्रोफ़ाइल जानकारी, फोटो, दीवार और "अतिरिक्त कुंजी" दे रहा है संदेश।
यह पुष्टि नहीं की गई है कि इन तीसरे पक्षों (ज्यादातर विज्ञापनदाताओं) को सुरक्षा छेद के बारे में पता था, हालांकि फेसबुक ने सिमेंटेक को बताया है कि दोष तय हो गया है। इन कुंजियों के माध्यम से दी गई एक्सेस का उपयोग उपयोगकर्ताओं के व्यक्तिगत डेटा को खदान करने के लिए भी किया जा सकता है, इस सबूत के साथ कि फेसबुक एप्लिकेशन लॉन्च होने पर सुरक्षा दोष 2007 तक वापस आ सकता है।
सिमेंटेक कर्मचारी निशांत दोषी ने कहा ब्लॉग पोस्ट:
“हमारा अनुमान है कि अप्रैल 2011 तक, 100,000 के करीब आवेदन इस रिसाव को सक्षम कर रहे थे। हमारा अनुमान है कि इन वर्षों में, सैकड़ों हजारों अनुप्रयोगों ने अनजाने में लाखों एक्सेस टोकन को तीसरे पक्षों को लीक कर दिया हो सकता है.”
बिल्कुल नहीं सोनी
जब उपयोगकर्ता किसी एप्लिकेशन को इंस्टॉल करता है और उसकी प्रोफाइल जानकारी तक पहुंच का उपयोग करता है, तो एक्सेस टोकन दिए जाते हैं। आमतौर पर एक्सेस कुंजियां समय के साथ समाप्त हो जाती हैं, हालांकि कई एप्लिकेशन एक ऑफ़लाइन एक्सेस कुंजी का अनुरोध करते हैं जो तब तक नहीं बदलेगा जब तक कि उपयोगकर्ता एक नया पासवर्ड सेट न करे।
ठोस OAUTH2.0 प्रमाणीकरण विधियों का उपयोग करने के बावजूद, कई पुरानी प्रमाणीकरण योजनाएं अभी भी स्वीकृत हैं और बदले में हजारों अनुप्रयोगों द्वारा उपयोग की जाती हैं। यह पुरानी सुरक्षा विधियों का उपयोग करके ये अनुप्रयोग है, जो अनजाने में तीसरे पक्षों को लीक की गई जानकारी हो सकती है।
निशांत बताते हैं:
“एप्लिकेशन परिचित एप्लिकेशन अनुमति संवाद बॉक्स में उपयोगकर्ता को पुनर्निर्देशित करने के लिए क्लाइंट-साइड रीडायरेक्ट का उपयोग करता है। यह अप्रत्यक्ष रिसाव तब हो सकता है जब एप्लिकेशन एक लीगेसी फेसबुक एपीआई का उपयोग करता है और उनके पुनर्निर्देशित कोड के हिस्से के रूप में निम्न पदावनत पैरामीटर हैं, "वापसी_ सत्र = 1" और "सत्र_वर्ष = 3 happen"।
![फेसबुक चुपचाप एक बड़े पैमाने पर सुरक्षा छेद, लाखों संभावित रूप से प्रभावित [समाचार] fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
क्या इन मापदंडों का उपयोग किया गया है (ऊपर चित्र), फेसबुक URL के भीतर पहुंच टोकन युक्त एक HTTP अनुरोध वापस करेगा। रेफरल स्कीम के हिस्से के रूप में, यह URL बदले में तीसरे पक्ष के विज्ञापनदाताओं के पास है, जो एक्सेस टोकन (नीचे चित्रित) के साथ पूर्ण है।
![फेसबुक चुपचाप एक व्यापक सुरक्षा छेद, लाखों संभावित रूप से प्रभावित [समाचार] सह fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
जो उपयोगकर्ता चिंतित हैं कि उनकी पहुंच कुंजियाँ अच्छी तरह से हैं और सही मायने में लीक होने पर टोकन को स्वचालित रूप से रीसेट करने के लिए अपने पासवर्ड को तुरंत बदल देना चाहिए।
आधिकारिक फेसबुक ब्लॉग पर उल्लंघन की कोई खबर नहीं थी, हालांकि संशोधित आवेदन प्रमाणीकरण के तरीके हैं पोस्ट किया गया डेवलपर्स ब्लॉग पर, OAUTH2.0 पर स्विच करने के लिए सभी साइटों और अनुप्रयोगों की आवश्यकता होती है।
क्या आप इंटरनेट सुरक्षा के बारे में पागल हैं? फेसबुक की वर्तमान स्थिति और टिप्पणियों में सामान्य रूप से ऑनलाइन सुरक्षा पर आपका क्या कहना है!
छवि क्रेडिट: सिमेंटेक
टिम एक स्वतंत्र लेखक हैं जो ऑस्ट्रेलिया के मेलबर्न में रहते हैं। आप उसे ट्विटर पर फ़ॉलो कर सकते हैं।
