Facebook avalia que não há evidências de que invasores tenham utilizado tokens de acesso

Facebook avalia que não há evidências de que invasores tenham utilizado tokens de acesso

A empresa comunicou que desde a descoberta de uma vulnerabilidade que permitia obter tokens de acesso às contas, não foi encontrada qualquer evidência de que um invasor poderia ter acessado aplicativos de terceiros que utilizam o Facebook Login.

A empresa comunicou que desde a descoberta de uma vulnerabilidade que permitia obter tokens de acesso às contas, não foi encontrada qualquer evidência de que um invasor poderia ter acessado aplicativos de terceiros que utilizam o Facebook Login.

Na semana passada, o Facebook revelou que foi descoberta a existência de uma falha de segurança que afetou 50 milhões de contas. Tratava-se de uma vulnerabilidade no código da funçãoVer como“, usada pelos usuários para ver como outras pessoas visualizam seu próprio perfil, o que permitiu que um invasor obtivesse os tokens de acesso e, em seguida, os utilizasse para acessar as contas de quem tivessem ingressado através do Facebook Login.

Na última terça-feira (02), a rede social publicou um lembrete de que a vulnerabilidade foi reparada e que os tokens de acesso de 90 milhões de contas foram reiniciados para proteger os usuários, o que obrigou, nesses casos, a deslogar a sessão no Facebook ou em qualquer aplicativo de terceiros que tenha sido acessado por meio do Facebook Login.

A empresa analisou os registros de todos os aplicativos instalados ou acessados desde o ataque e assegurou que até o momento não foi encontrada qualquer evidência de que qualquer invasor tenha acessado qualquer aplicativo de terceiros que utilize o Facebook Login.

Além disso, a rede social informou que qualquer desenvolvedor que usa o Facebook Software Development Kits oficiales (SDKs) foi automaticamente protegido com a reinicialização dos tokens de acesso dos usuários. Além disso, como medida de precaução adicional, a empresa está criando uma ferramenta para que os desenvolvedores possam identificar manualmente os usuários que usam os aplicativos e que podem ter sido afetados, para que possam forçá-los a deslogar.

A empresa sugere que os desenvolvedores sigam suas recomendações de segurança para o Facebook Login.

Discussão