Symantec har nu afsløret at Facebook-annoncører i længere tid har haft adgang til brugernes data. Der er tale om et stort sikkerhedshul, som angiveligt har eksisteret i flere år. Det betyder at annoncører og andre tredjeparter har haft adgang til profiloplysninger, billeder og chatbeskeder for den enkelte bruger. De har endda haft mulighed for at sende beskeder i brugerens navn.
Men sikkerhedsfirmaet har dog ingen beviser for, at annoncører rent faktisk har udnyttet denne mulighed for at fiske i brugernes personlige data.
Problemet er beskrevet i Symantecs officielle blog. I nogle tilfælde har applikationer på Facebook lækket de såkaldte ”access tokens” til annoncører på platformen.
Det anslås at op mod 100.000 applikationer på Facebook har lækket ”access tokens” - så problemet har altså et meget stort omfang.
Symantec vurderer at millioner af disse ”access tokens” er blevet lækket over årene. Her er der tale om en form for ”reservenøgle”, som kan bruges til at foretage sig bestemte ting på Facebook i brugerens navn.
Hver nøgle giver adgang til forskellige handlinger, f.eks. at læse beskeder på Facebook-væggen eller få adgang til vennernes profiler.
”Vi frygter at en stor del af disse tokens stadig kan være tilgængelige i logfiler eller stadig bliver aktivt brugt af annoncører,” skriver Symantec.
Facebook er nu informeret om problemet og her er man ved at flytte applikationerne til OAuth 2.0, hvor problemet ikke længere findes.
Symantec anbefaler at bekymrede brugere bør skifte deres kodeord på Facebook. Dermed bliver alle stjålne tokens for denne bruger ugyldige.