Các nhà quảng cáo, những kẻ tọc mạch có thể đã được hưởng lợi từ những mã truy cập tài khoản người dùng mà Facebook để "hớ hênh" trong vài năm qua.
Theo các nhà nghiên cứu bảo mật tại Symantec, một lỗi lập trình trên website của Facebook có thể đã vô tình cho phép các nhà quảng cáo và những người khác tiếp cận với một kho tàng thông tin cá nhân. Symantec đã đăng chi tiết về vấn đề này trên website của hãng hôm 10/5/2011, nói rằng có thể lỗi này đã ảnh hưởng đến gần 100.000 ứng dụng Facebook từ vài năm nay.
Theo Symantec, một số ứng dụng Facebook đã vô tình trao cho các nhà quảng cáo nhiều mã truy cập (access token) - chuỗi các con số và chữ cái dùng để truy cập tài khoản Facebook qua trình duyệt web. "Các mã truy cập giống như những ‘chìa khóa dự phòng’ được bạn trao cho các ứng dụng Facebook", Symantec cho biết trong một bài đăng blog. "Mỗi mã truy cập hoặc ‘chìa khóa dự phòng’ gắn với một số quyền, như đọc nội dung trên tường (Wall) của bạn, truy cập vào hồ sơ của bạn bè, đăng bài lên Wall của bạn…".
 |
Người sử dụng thường xuyên cấp kiểu truy cập này cho các ứng dụng Facebook, nhờ đó, họ có thể làm những việc như viết lên Wall. Tuy nhiên, với việc trao những mã truy cập này cho nhiều ứng dụng khác, các nhà phát triển ứng dụng đã vô tình tạo cho các nhà quảng cáo, công ty phân tích trực tuyến một cách nắm được thông tin người dùng.
"Chúng tôi ước tính rằng trong những năm qua, hàng trăm hàng ngàn ứng dụng có thể đã vô tình làm rò rỉ hàng triệu mã truy cập cho các bên thứ ba", Symantec cho biết. Facebook vẫn chưa đưa ra lời bình luận nào.
Facebook đã mở mạng xã hội của mình cho các nhà phát triển web bên thứ ba vào năm 2007, và họ trở thành một hiện tượng website thành công điển hình. Nhưng các chuyên gia bảo mật nói rằng, người dùng nên cẩn thận chọn lọc các ứng dụng Facebook mà họ thực sự muốn sử dụng.
Facebook đã khắc phục được vấn đề, nhưng theo Symantec, đây vẫn có thể là một vấn đề lớn đối với người dùng, bởi vì những mã truy cập này có thể vẫn đang lưu hành, được lưu trữ trong các file đăng nhập máy chủ hoặc ở những nơi khác trên web. Tuy nhiên, vấn đề không ảnh hưởng đến những ứng dụng Facebook sử dụng hệ thống xác thực mới hơn như OAUTH2.0, Symantec cho biết.