Aunque el problema se ha resuelto, según denuncia Symantec, un problema con los tokens de acceso, que ha afectado a cerca de 100.000 aplicaciones de Facebook, ha permitido que se filtrara información personal de los usuarios.Un error de programación en el sitio web de Facebook pudo, accidentalmente, permitir que miles de aplicaciones filtraran información personal de los usuarios a terceras empresas, según los investigadores de seguridad de Symantec, que ha facilitado detalles de este fallo que, según sus estimaciones, puede haber afectado a cerca de 100.000 aplicaciones de Facebook y desde hace años.
De acuerdo con Symantec, ciertas aplicaciones de Facebook han entregado, sin querer, tokens de acceso (cadenas de números y letras que pueden ser utilizadas por un navegador para acceder a cuentas de Facebook a través de Internet). “Los tokens de acceso son como las ´llaves de repuesto´ que el usuario concede a las aplicaciones de Facebook”, explica Symantec en su blog. “Cada símbolo o” llave de repuesto “se asocia con un conjunto selecto de permisos, como la lectura de tu muro, el acceso al perfil de tus amigos, publicar en tu muro, etc.”.
Los usuarios suelen permitir este tipo de acceso a las aplicaciones de Facebook para que puedan hacer cosas como escribir en los muros del perfil, pero al gestionar esto a través de los tokens de otros, los desarrolladores de aplicaciones fueron entregando, accidentalmente, a los anunciantes o empresas de análisis on-lñine la manera de llegar a esta información.”Estimamos que, con los años, cientos de miles de aplicaciones puede haber filtrado, sin darse cuenta, millones de tokens a terceros”, asegura Symantec.
Facebook abrió su red social para desarrolladores Web en 2007 y se ha convertido en una de las claves para el éxito de la red social. Pero los expertos en seguridad siempre han pedido a los usuarios que tengan cuidado al autorizar aplicaciones y que lo hagan únicamente con las que realmente desean utilizar. No obstante, Symantec no tiene claro que alguien se haya dado cuenta de este problema, por lo que es posible que nadie se haya aprovechado del error para espiar a los usuarios.
Facebook ha solucionado el problema, aunque las repercusiones para los usuarios podrían prolongarse en el tiempo, según Symantec, dado que los tokens podrían encontrarse aún en circulación, almacenados en los archivos de registro del servidor o en otros lugares en la Web.
Uno de estos tokens de acceso pueden seguir operando hasta que el usuario cambia su contraseña de Facebook, por lo que Symantec considera que los usuarios interesados deben cambiar sus contraseñas de Facebook.
El problema no afecta a las aplicaciones de Facebook que utilizan el sistema de autenticación OAUTH2.0 más reciente.