上周曝光后,至少有5000 万个身份验证令牌,Facebook终于宣布了好消息:使用Facebook登录身份验证服务的第三方应用程序不会受到此事件的影响。“我们现在已经分析了上周发现的攻击期间安装或连接的所有第三方应用程序的日志。到目前为止,调查尚未发现任何证据表明攻击者通过 Facebook Login 访问了应用程序。Facebook 产品总监盖伊·罗森 (Guy Rosen) 在一份报告中解释道博客文章。
身份验证令牌,真正的主密钥
在网络世界中,身份验证令牌是用户连接到服务时生成的一串字符。它通常存储在 cookie 中,允许用户浏览为其保留的动态页面,而无需每次输入密码。一旦用户到达新页面,它就会在显示内容之前首先检查是否存在此类令牌。
就 Facebook 而言,许多第三方服务也使用身份验证令牌,为了方便起见,这些第三方服务使用 Facebook 登录服务来登录自己的用户。因此,已经通过浏览器连接到 Facebook 的用户可以直接访问此类服务的网站,而无需再次输入密码。在智能手机上,也是一样的。 Tinder 等应用程序将使用 Facebook 应用程序令牌来验证用户身份。
风险并未完全消除
黑客收集的代币可以毫无困难地用于欺诈性地访问这些第三方帐户。例如,黑客可以在 Tinder 上阅读消息、在 Uber 上分析行程、在 Strava 上观察跑步比赛等。考虑到被盗代币的数量,没有第三方应用程序没有受到这次黑客攻击的影响,这几乎是一个奇迹。
此外,Facebook 撤销了所有被盗代币的事实并不意味着第三方应用程序现在完全摆脱了困境。这完全取决于他们如何实现 Facebook 登录。一些第三方应用程序不检查令牌的有效性,因此即使在今天,也可能成为令牌被盗的受害者。这种缺乏访问控制的情况显然相当普遍,因为 Facebook 计划很快发布一款工具,允许第三方应用程序开发人员识别并手动断开受影响的用户。你永远都不能太小心。
