Facebook-iFrame-Applications haben über einen längeren Zeitraum hinweg Daten versehentlich verraten.
Ursache des Problems ist laut Analyse ein Fehler in der älteren Facebook-API, mit der die Apps den Zugriff auf das Konto legitimieren. Erlaubt ein Anwender einer App den Zugriff auf sein Konto, erhält die App einen sogenannten Access-Token, den sie selbstständig erneuern kann.
Während des Login-Vorgangs kann es laut Symantec passieren, dass beim Aufruf eines Anwendungs-Servers das Access-Token fälschlicherweise in die URL einfügt wird. Lädt die App im nächsten Schritt etwa ein Werbebanner oder andere Inhalte nach, sendet sie die URL inklusive Access-Token im Referrer im HTTP-Request mit. Diese Daten landen dann vermutlich in der Log-Datei des Servers des jeweiligen App-Anbieters.
Symantec geht davon aus, dass dieses Problem von vielen App-Betreibern und deren Werbepartnern nicht bemerkt worden ist. Letztlich sei aber gar nicht abzuschätzen, wie viele Token seit dem Start der Facebook-Anwendungen im Jahre 2007 veröffentlicht worden seien. So hätten bis zu 100.000 Facebook-Apps durch den Fehler Zugriff auf die Tokens gehabt. Beunruhigten Facebook-Nutzern empfiehlt Symantec, ihr Facebook-Passwort zu ändern. Damit würden die aus Facebook herausgesickerten Token ihre Gültigkeit verlieren. Facebook hat das Problem mittlerweile behoben und Entwickler von Drittanbieter-Apps über die Änderungen informiert. Bis zum 1. Oktober müssen Apps sich per OAuth 2.0 authentifizieren.
(Quelle: Heise-Online)