Facebook corregge una grave falla di sicurezza

Facebook ha fatto sapere di aver riparato una falla di sicurezza molto seria legata alle API per le applicazioni di terze parti. La falla, scoperta dai laboratori Symantec, ha permesso la fuoriuscita di milioni di token dal sito. Questi token, sono le “chiavi” usate dalle applicazioni per accedere alle informazioni presenti nei profili di Facebook (post in bacheca, foto, ecc.), e quindi potrebbero aver spinto i dati di milioni di utenti nelle mani di pubblicitari e società inserzioniste sulle pagine del celebre social network.

Nishant Doshi di Symantec ha scritto sul blog dell’azienda: “Secondo le nostre stime di aprile 2011, circa 100.000 applicazioni sono state coinvolte da questa fuga di dati. Calcoliamo che, nel corso degli anni, centinaia di migliaia di applicazioni avrebbero potuto inavvertitamente cedere token di accesso a terze parti”. Questo, tradotto in parole povere, significa che da quando Facebook nel 2007 ha introdotto le applicazioni (e di conseguenza le API per il loro sviluppo) questa falla è sempre stata presente.

Ma come sono trapelati questi token di accesso? Secondo Symantec, anche se ora Facebook usa il rigido sistema di autenticazione OAUTH2.0, molte applicazioni hanno continuato a sfruttare sistemi più datati e vulnerabili. In particolar modo, le applicazioni incriminate sarebbero state quelle contenenti i parametri di redirect “return_session=1″ and “session_version=3” (immagine sotto).