Symantec spoort Facebook gebruikers aan om opnieuw hun wachtwoord te wijzigen. Dank zij de waaier aan applicaties zijn de access tokens 'onbedoeld' mee verzonden met het dataverkeer tussen die applicaties en de adverteerders. Hierbij hadden ze ook toegang tot foto's, chatberichten en konden ze zelf ook onder de accounts berichten toevoegen.De Facebook IFRAME-applicaties zouden verantwoordelijk zijn voor het lekken. Telkens bij het aanroepen van een IFrame, wordt bij een eerste gebruik de toestemming gevraagd aan de gebruiker. Vanaf dat moment werden de toegangstokens verzonden.
Om verdere lekkage te voorkomen, moeten gebruikers hun wachtwoord opnieuw instellen. Op deze manier worden alle vorige tokens nietig verklaard en zal men natuurlijk ook telkens opnieuw een applicatie de toestemming moeten geven, zelfs als men zijn persoonlijke pagina's wil consulteren.
'There is no good way to estimate how many access tokens have already been leaked since the release Facebook applications back in 2007. We fear a lot of these tokens might still be available in log files of third-party servers or still being actively used by advertisers. Concerned Facebook users can change their Facebook passwords to invalidate leaked access tokens. Changing the password invalidates these tokens and is equivalent to “changing the lock” on your Facebook profile'
Facebook is op de hoogte gebracht en zal de nodige maatregelen treffen.
Bron: Blogs Symantec