赛门铁克发现,部分Facebook应用泄露出了一些“令牌”(Token),而这些令牌则可以被当做“备用钥匙”来访问用户资料、阅读信息并展开其他活动。
Facebook的应用都是Web程序,并且与该网站的平台进行了整合。赛门铁克表示,每天的Facebook应用安装量达到2000万次。
赛门铁克研究员尼山特·多什(Nishant Doshi)表示,这些“令牌”被泄露给广告主和分析平台等第三方,使得他们能够发布信息或是从用户的资料中挖掘个人信息。
“幸运的是,这些第三方或许尚未意识到这种功能。”多什在博客中说,“我们已经将该问题报告给Faceook,他们也采取了相应的措施来解决这一问题。”
赛门铁克估计,截至4月,有将近10万款应用泄露了Facebook资料的“令牌”。“我们估计,过去几年来,约有数十万款应用向第三方意外泄露了数百万个‘令牌’。”多什说。
该问题由多什及其在赛门铁克的同事坎迪德·伍伊斯特(Candid Wueest)共同发现,而Facebook也证实了这一问题。
Facebook自2007年开始支持第三方应用,但被泄露的“令牌”总数究竟有多少,目前还没有可靠估计。
赛门铁克还警告称,无论Facebook采取何种解决方案,“令牌”数据可能依旧会被存储在第三方电脑的文件中。
“对此存有疑虑的Facebook用户可以通过修改密码的方法来消除‘令牌’的作用。”多什说,“更改密码后,这些‘令牌’就失效了,这就相当于给你的Facebook资料换了一把锁。”