Symantec：Facebook臭蟲讓第三方程式存取個資

資安業者Symantec本周表示，該公司發現Facebook的IFRAME應用程式無意中洩露了存取權杖（access token）予廣告主或分析平台，使得這些第三方業者得以存取各種使用者資訊，估計光是在今年4月，就有接近10萬的應用程式能存取使用者個資。

存取權杖就像是使用者授予Facebook應用程式的備份鑰匙，應用程式得以利用這些存取權杖代替使用者執行特定的動作或存取使用者檔案，每個權杖有不同的功用，諸如讀取塗鴉牆、存取友人檔案或張貼訊息等。該存取權杖的授權發生在使用者安裝應用程式之際，大多數的存取權杖都會在短時間內失效，但應用程式也可要求離線存取權杖以讓程式繼續使用，直到使用者更改密碼為止。

Symantec說明，Facebook現在使用OAUTH2.0進行安全認證，但也支援舊版的認證，當使用者造訪Facebook上的第三方程式時，Facebook會先傳送諸如年齡層或所在地等粗略的個人資訊予應用程式，隨後程式會將使用者轉至應用程式授權網頁，然而，在這個轉換過程中，當應用程式使用一個合法的Facebook API並採用特定參數時，Facebook在回覆給應用程式的網址（URL）中就會含有存取權杖。

不同的存取權杖可用來存取使用者的個人檔案、照片、聊天服務或是張貼訊息等，幸運的是，這些第三方業者可能不知道他們有能力存取該權杖。根據Facebook的估計，該站用戶每天約安裝2000萬的應用程式。

Symantec發現此事後便立刻通知Facebook，Facebook也已修補該臭蟲避免存取權杖再度外洩，不過，Symantec認為從Facebook在2007年發表第三方程式功能以來已無法計算究竟已外洩多少存取權杖，同時擔心第三方伺服器上的記錄檔案可能還留存相關的權杖，建議使用者儘快更新密碼，等於也替自己的檔案換個鎖，以讓這些權杖失效。（編譯/陳曉莉）