В работе API Facebook-приложений обнаружена ошибка, из-за которой в течение нескольких лет третьи стороны неумышленно получали доступ к персональным данным пользователей. Эксперты Symantec (это компания по производству программного обеспечения в области информационной безопасности и антивирусов, базирующаяся в Калифорнии), обнаружившие ошибку, полагают, что проблема затронула не менее сотни тысяч приложений.
Как пишет Вебпланета, суть проблемы состоит в следующем. На Facebook используется устаревший метод аутентификации, и действуют некоторые устаревшие параметры приложений, из-за чего приложения получают в ответ URL, в котором, помимо действительно нужных параметров, также присутствовал так называемый маркер доступа. Этот маркер выдаётся приложению во время его установки, когда пользователь подтверждает своё желание предоставить приложению определённые права.
Приложения могут использовать эти маркеры или ключи для выполнения определенных действий от имени пользователя или получить доступ к профилю пользователя.
Поскольку Facebook-приложения автоматически взаимодействуют с «третьими сторонами» — обычно системами онлайн-рекламы – то полученный от системы аутентификации URL автоматически же передают дальше — вместе с этим маркером доступа.
В Facebook признают, что данная ошибка имела место. Однако администрация соцсети уверяет, что свидетельств того, что кто-то использовал маркер доступа «не по назначению», нет. Перед пользователями руководство пока не извинилось.
Между тем, то обстоятельство, что посторонние люди долгое время получали доступ к данным пользователей, противоречит пользовательскому соглашению социальной сети.
Согласно плану руководства, к сентябрю все приложения должны будут перейти на новую систему аутентификации OAuth 2.0, а к октябрю — получить SSL-сертификаты.