¿En qué consistió el fallo?
El aparente “fallo” que duró todo el mes de abril, beneficiaba particularmente a los anunciantes y a las aplicaciones desarrolladas del tipo iframe. Traduciéndolo a cristiano este fallo permitía que los desarrolladores pudieran acceder a las llaves maestras, por así decirlo, de los perfiles de sus usuarios. Estas llaves llamadas tokens pueden ser usadas para simular ser “tú” en fecebook y poder publicar mensajes en los muros de tus amigos o por ejemplo acceder a chats, fotos. Toda una mina de oro para los recopiladores de información.
Estos “permisos” que permiten el acceso expiran en corto periodo de tiempo, aunque también Symantec reporta los “tokens” que facilitan acceso permanente hasta que el usuario no cambie su contraseña, incluso aún cuando no esté conectado. Lo curioso es que al parecer no todos los desarrolladores de aplicaciones conocían de esta capacidad de acceso.
Link: Facebook Applications Accidentally Leaking Access to Third Parties -Symantec