Berta Sándor
33 500 dollárt fizetett a Facebook egy biztonsági hibáért
A közösségi platform először fizetett ekkora összeget egy kritikus biztonsági hiba felfedezéséért.
Az OpenID azonosító rendszerrel kapcsolatos hiányosság lehetővé tette volna a hackerek számára, hogy hozzáférhessenek a Facebook jelszóadatbázisához. Az OpenID egy nyitott technológia, ami a felhasználók számára biztosítja, hogy valamelyik szolgáltatásnál megadják az adataikat, majd azokat más platformoknál is felhasználják. Így például a Symantec Personal Identity Portalra való regisztrációkor megadott információkkal be lehet jelentkezni a WordPress rendszerébe is. Amennyiben valaki elveszíti a jelszavát, a Facebook az eredeti regisztrációt végző cégtől XML-fájlban elkérheti az adatokat azért, hogy meggyőződhessen az illető személyazonosságáról. Azonban ez nem veszélytelen dolog, mert egy ismert XML-hiba lehetővé teszi a fájlok meghamisítását.
Reginaldo Silva brazil biztonsági kutató 2012 óta foglalkozik az OpenID hiányosságaival. Közölte, hogy azonnal jelezte a hibát a Facebooknak, de ugyanakkor engedélyt kért arra is, hogy tesztelhesse a biztonsági rést, amíg elkészül a javítása. Az első javítás már a bejelentést követő 3,5 órán belül elérhetővé vált. A Facebook naplófájljainak átvizsgálása során kiderült, hogy a biztonsági hiányosságot még senki nem használta ki. Ez azért is fontos, mert az OpenID-t számos vállalat alkalmazza, köztük van a Drupal, a StackOverflow és a Google. Miután az OpenID igen elterjedt rendszer, így Silva nem zárta ki annak lehetőségét, hogy a javítást még közel sem vette át minden OpenID-szolgáltató és partnercég.
Az OpenID azonosító rendszerrel kapcsolatos hiányosság lehetővé tette volna a hackerek számára, hogy hozzáférhessenek a Facebook jelszóadatbázisához. Az OpenID egy nyitott technológia, ami a felhasználók számára biztosítja, hogy valamelyik szolgáltatásnál megadják az adataikat, majd azokat más platformoknál is felhasználják. Így például a Symantec Personal Identity Portalra való regisztrációkor megadott információkkal be lehet jelentkezni a WordPress rendszerébe is. Amennyiben valaki elveszíti a jelszavát, a Facebook az eredeti regisztrációt végző cégtől XML-fájlban elkérheti az adatokat azért, hogy meggyőződhessen az illető személyazonosságáról. Azonban ez nem veszélytelen dolog, mert egy ismert XML-hiba lehetővé teszi a fájlok meghamisítását.
Reginaldo Silva brazil biztonsági kutató 2012 óta foglalkozik az OpenID hiányosságaival. Közölte, hogy azonnal jelezte a hibát a Facebooknak, de ugyanakkor engedélyt kért arra is, hogy tesztelhesse a biztonsági rést, amíg elkészül a javítása. Az első javítás már a bejelentést követő 3,5 órán belül elérhetővé vált. A Facebook naplófájljainak átvizsgálása során kiderült, hogy a biztonsági hiányosságot még senki nem használta ki. Ez azért is fontos, mert az OpenID-t számos vállalat alkalmazza, köztük van a Drupal, a StackOverflow és a Google. Miután az OpenID igen elterjedt rendszer, így Silva nem zárta ki annak lehetőségét, hogy a javítást még közel sem vette át minden OpenID-szolgáltató és partnercég.