פרצת אבטחה בפייסבוק: סימנטק ממליצה לגולשים להחליף סיסמה

פייסבוק שלחה היום (ד') הודעה לכל מפתחי האפליקציות על כוונתה לעבור במהלך החודשים הקרובים לתקני אבטחה מחמירים יותר. ההודעה נמסרה יום לאחר שחברת האבטחה סימנטק התריעה על חור אבטחה אפשרי ברשת החברתית, המאפשר למפתחי אפליקציות להעביר את פרטי הגולשים למפרסמים ולגופים עצמאיים ללא ידיעתם.

לפי סימנטק, כאשר משתמש מאשר הוספת אפליקציית חדשה בפייסבוק, הרשת החברתית מייצרת מפתח זמני וחד פעמי הנותן לאפליקציה גישה לפרטי המשתמשים. הפרצה היתה קיימת במשך שנים, ובחודש שעבר קרוב ל-100 אלף אפליקציות עדיין השתמשו בתקן האבטחה הישן.

חברת האבטחה אף שלחה אזהרה והציעה לכל משתמשי פייסבוק להחליף את הסיסמאות שלהם, בנימוק שהמהלך עשוי למנוע את העברת פרטיהם. יצוין כי המפתחות אינם נותנים גישה לסיסמאות המשתמשים.

בין השאר, החברה תדרוש מכל המפתחים להחזיק בתעודת SSL תקינה ופעילה עד אוקטובר ולעבור לתקן האבטחה OAuth 2.0 עד ספטמבר. כל האפליקציות הפועלות בטוויטר ובפייסבוק משתמשות ב-OAuth, וגם גוגל תומכת בתקן.

סימנטק גילתה שתקן האבטחה הישן - OAuth 1.0 - מאפשר במקרים מסוימים להעביר מידע לחברות צד שלישי. בין השאר, המפתחות שאפשר ליצור באמצעותו יכולים לאפשר גישה לכל הפרטים האישיים של המשתמש, עדכוני סטטוס, רשימת החברים, גלריית התמונות והיסטוריית המיקום.

פייסבוק הבהירה שהיא עובדת עם סימנטק על מנת לחסום את חור האבטחה, אבל ציינה שאין כל סימנים שמידע אישי כלשהו דלף.