Facebook : aucune preuve d’accès à des apps tierces après l’attaque

 

Facebook a déclaré mardi qu’il n’y avait aucune preuve que les pirates responsables de la faille de sécurité massive de la semaine dernière aient accédé à des applications tierces via son service Facebook Login.

Les pirates responsables de l’intrusion, qui a touché au moins 50 millions d’utilisateurs de Facebook, ont exploité une vulnérabilité du code de Facebook pour dérober les tokens de session – des clés numériques permettant aux internautes de rester connectés après l’authentification sur le site.

Utilisateurs identifiés et déconnectés des apps

Après l’attaque, Facebook a réinitialisé les tokens de 90 millions de comptes, invitant ces utilisateurs à se reconnecter à Facebook, ainsi qu’à toutes les applications utilisant sa technologie Facebook Login.

Dans un billet de blog, Guy Rosen, vice-président de la gestion des produits de Facebook, a déclaré que la société avait à présent examiné les logs de toutes les applications tierces installées ou enregistrées lors de l’attaque. Il n’y a aucune preuve à ce jour de violation des applications tierces, a-t-il déclaré.

Les tokens de session réinitialisés, les développeurs tiers devraient être à l’abri – tant qu’ils utilisent les kits de développement logiciel (SDK) officiels de Facebook et vérifient régulièrement la validité des jetons d’accès de leurs utilisateurs.

Cependant, pour être sûr que le problème soit résolu pour tous, Facebook développe actuellement un outil permettant aux éditeurs d’apps tierces d’identifier manuellement les utilisateurs susceptibles d’avoir été affectés pour pouvoir les déconnecter de leur session.

Go to Source


bouton-devis