Сеть Facebook сегодня опровергла ранее прозвучавшие обвинения со стороны компании Symantec о том, что программное обеспечение сети, якобы, допускает передачу пользовательских данных рекламодателям и третьим сторонам. В Symantec говорят, что данная уязвимость существовала в Facebook несколько лет.
Накануне два специалиста по ИТ-безопасности Symantec сообщили, что рекламодатели, операторы аналитических рекламных платформ и прочие "третьи стороны" могли получить информацию пользователей Facebook из-за программной особенности, позволяющей перехватывать ключи приложений, отвечающих за аутентификацию пользователей.
В рекомендации Symantec говорится о необходимости смены ранее использованных паролей в Facebook, дабы снизить вероятность утечки их персональных данных неавторизованным получателям.
Напомним, что ранее Facebook уже неоднократно критиковали за слишком щедрый доступ к пользовательским приватным данным со стороны партнеров сети и рекламных агентств. За последний год Facebook минимум дважды становилась предметом официальных расследований на этот счет.
В Symantec говорят, что баг был открыт минимум год назад и за это время многие могли теоретически получать доступ к значительным объемам закрытой информации. По оценкам антивирусной компании, сейчас на сторонних серверах различных рекламных платформ, рекламных агентств и разработчиков софта, было около 100 000 приложений, теоретически допускающих несанкционированную передачу токенов, идентифицирующих пользователей и открывающих доступ к их данным.
Однако, отмечает компания, поскольку большинство рекламодателей не запрашивали у разработчиков приложений такой доступ специально, многие из них не успели осознать возможность и воспользоваться ей. Выявив утечку данных, Symantec направила запрос администрации Facebook, которая сообщила, что "предпринимает меры для устранения проблемы". Какие именно меры уже предприняты и в какой степени удалось решить проблему, разработчик не уточняет.
Тем не менее в Facebook говорят, что в отчете Symantec содержатся некоторые неточности. "Мы ценим внимание Symantec к данному вопросу и мы начали работать по данному вопросу немедленно, но мы хотим подчеркнуть, что на практике никаких личных данных третьим сторонам не передавалось. Практически все ключи имеют строк жизни час или два, после этого от них нет никакой пользы. В отчете также не обращается внимание на тот факт, что сама Facebook следит за тем, чтобы партнеры не нарушали условий соглашений, так как в противном случае договора с ними будут аннулированы", - заявили в пресс-службе Facebook.
Также в Facebook говорят, что по данной проблеме не получали жалоб со стороны пользователей о злоупотреблении их данными.
В Symantec продолжают настаивать на том, что их данные верны, но говорить о реальном ущербе не берутся, так как для этого необходимо работать с партнерами Facebook.
"Эта уязвимость лично меня не удивляет, нечто подобное было в Facebook и раньше, да и на других сайтах работают похожие платформы. Я бы даже не назвал его классической уязвимостью, скорее особенностью бизнес-модели Facebook", - говорит Крис Палмер, технический директор Electronic Frontier Foundation.
Источник: securitylab.ru.
| 
