|
||||
美國電腦安全公司賽門鐵克周二表示,Facebook意外地向廣告主開放了一個後門,允許他們訪問用戶資料、圖片、聊天記錄和其他隱私數據。
賽門鐵克發現,部分Facebook應用泄露出了一些『令牌』(Token),而這些令牌則可以被當做『備用鑰匙』來訪問用戶資料、閱讀信息並展開其他活動。
Facebook的應用都是Web程序,並且與該網站的平臺進行了整合。賽門鐵克表示,每天的Facebook應用安裝量達到2000萬次。
賽門鐵克研究員尼山特·多什(Nishant Doshi)表示,這些『令牌』被泄露給廣告主和分析平臺等第三方,使得他們能夠發布信息或是從用戶的資料中挖掘個人信息。
『幸運的是,這些第三方或許尚未意識到這種功能。』多什在博客中說,『我們已經將該問題報告給Faceook,他們也采取了相應的措施來解決這一問題。』
賽門鐵克估計,截至4月,有將近10萬款應用泄露了Facebook資料的『令牌』。『我們估計,過去幾年來,約有數十萬款應用向第三方意外泄露了數百萬個「令牌」。』多什說。
該問題由多什及其在賽門鐵克的同事坎迪德·伍伊斯特(Candid Wueest)共同發現,而Facebook也證實了這一問題。
Facebook自2007年開始支持第三方應用,但被泄露的『令牌』總數究竟有多少,目前還沒有可靠估計。
賽門鐵克還警告稱,無論Facebook采取何種解決方案,『令牌』數據可能依舊會被存儲在第三方電腦的文件中。
『對此存有疑慮的Facebook用戶可以通過修改密碼的方法來消除「令牌」的作用。』多什說,『更改密碼後,這些「令牌」就失效了,這就相當於給你的Facebook資料換了一把鎖。』