Руководство социальной сети Facebook раскрыло некоторые подробности обнаруженной на прошлой неделе утечки токенов доступа 50 млн пользователей. В частности, в компании заявили, что утечка, после которой специалисты сбросили авторизацию для 90 млн учетных записей, не повлияла на сторонние приложения, доступ к которым осуществляет при помощи логина и пароля от Facebook.
Как говорится в сообщении, опубликованном в блоге социальной сети, анализ логов показал, что злоумышленники, похитившие токены доступа благодаря сочетанию нескольких лазеек в коде Facebook, не воспользовались ими для входа в сторонние приложения, которые поддерживают функцию Facebook Login.
В компании отметили, что разработчики сторонних приложений, которые используют SDK Facebook, могут не волноваться за безопасность пользователей – после сброса токенов возможность входа в приложения при помощи украденных данных была ликвидирована. Однако некоторые разработчики, не использующие SDK и не проводящие регулярные проверки валидности токенов доступа пользователей, могут оказаться в зоне риска. Для них Facebook разрабатывает специальный инструмент, который позволит вручную проверить, не затронула ли утечка пользователей их приложений.
На днях стало известно, что Комиссия по защите данных (DPC) Ирландии, где зарегистрирован европейский офис Facebook, начала собственное расследование инцидента и запросила у компании информацию об этой утечке. Не исключено, что по итогам этого расследования Facebook может быть оштрафована на 1,6 млрд долларов за нарушение компанией требований вступившего в силу в мае в ЕС Общего регламента о защите данных (GDPR).