Безопасность токенов и cookie Facebook: что должен знать каждый рекламодатель

Если вы управляете рекламными аккаунтами Facebook — своими или клиентскими — вы сидите на горе учётных данных, которые в чужих руках могут опустошить бюджеты, украсть данные и навсегда уничтожить рекламные активы. Это не гипотетика — это происходит каждую неделю.

Растущая зависимость рекламной индустрии от неофициальных инструментов, антидетект-браузеров и рабочих процессов с передачей токенов создала огромную поверхность атаки, которую большинство медиабайеров не до конца понимает. Этот гайд подробно объясняет, как работают токены и cookie Facebook, какие риски вы несёте при их передаче и как защитить свою операцию.

Понимание токенов доступа Facebook

Что такое токены EAAB и что они контролируют

Каждый раз, когда стороннее приложение взаимодействует с рекламной инфраструктурой Meta, оно делает это через токен доступа — строку учётных данных, которая сообщает серверам API Meta, кто делает запрос и что им разрешено делать.

Наиболее распространённый тип токена в рекламе — это токен EAAB (префикс обозначает формат идентификатора, привязанного к приложению, используемый Meta). Когда вы видите строку вида EAABsbCS1iHgBAxxxxxxx, вы смотрите на ключ, который потенциально может:

• Читать и изменять все кампании на каждом рекламном аккаунте, к которому у владельца токена есть доступ
• Изменять бюджеты и ставки — включая установку дневных бюджетов на максимально допустимое значение
• Получать доступ к биллинговой информации — просматривать способы оплаты, историю расходов и счета-фактуры
• Скачивать данные аудиторий — экспортировать пользовательские аудитории, seed-данные для похожих аудиторий и списки клиентов
• Управлять активами Business Manager — добавлять или удалять людей, переназначать рекламные аккаунты, изменять разрешения
• Получать доступ к пикселю Meta — просматривать данные конверсий, изменять настройки пикселя и читать данные событий

Область доступа зависит от разрешений, предоставленных при создании токена. Два наиболее опасных разрешения в контексте рекламы — это ads_management (полный контроль над рекламными кампаниями и креативами) и business_management (структурный контроль над самим Business Manager).

Типы токенов: понимание иерархии

Не все токены одинаковы. Система токенов Meta имеет три отдельных уровня, каждый со своими последствиями для безопасности:

Пользовательские токены доступа генерируются, когда человек входит через Facebook Login в стороннем приложении. Эти токены наследуют все разрешения, которые пользователь предоставил в ходе авторизации. Краткосрочные пользовательские токены истекают примерно через один час. Долгосрочные токены, получаемые путём обмена краткосрочного токена через API Meta, действуют примерно 60 дней. Это наиболее часто похищаемый тип токена, поскольку он несёт весь объём разрешений пользователя.

Токены доступа к странице производны от пользовательских токенов, но привязаны к конкретной Странице Facebook. Правильно сгенерированный долгосрочный токен страницы может стать бессрочным — то есть оставаться действительным до явного отзыва или до изменения отношения пользователя со страницей. Они часто используются инструментами управления социальными сетями.

Токены системных пользователей создаются в Business Manager для машинного API-доступа. Они не привязаны ни к какому личному аккаунту Facebook, не истекают и могут быть ограничены конкретными рекламными аккаунтами и активами. С точки зрения безопасности токены системных пользователей являются наиболее контролируемым вариантом: их можно отозвать, не затрагивая пользователей-людей, они не несут разрешений личного аккаунта и создают чёткие журналы аудита. Любая легитимная рекламная платформа должна использовать токены системных пользователей или потоки на основе OAuth, а не запрашивать личные пользовательские токены.

Срок жизни токенов и механика обновления

Распространённое заблуждение состоит в том, что токены быстро истекают и поэтому несут ограниченный риск. Реальность более сложная:

• Краткосрочные токены: ~1 час жизни. Относительно низкий риск при перехвате, однако их может обменять на долгосрочные токены любой, кто ими владеет вместе с секретом приложения.
• Долгосрочные токены: ~60 дней. Это стандартный тип токена, используемый большинством рекламных инструментов. Шестьдесят дней неограниченного доступа более чем достаточно, чтобы опустошить многозначный рекламный бюджет.
• Бессрочные токены страницы: действительны до отзыва. Сохраняются даже после смены пароля и некоторых действий по защите аккаунта.
• Токены системных пользователей: никогда не истекают. Привязаны к активам Business Manager. Могут быть отозваны только через настройки Business Manager.

Ключевой момент: смена пароля Facebook не аннулирует активные токены доступа. Если токен был скомпрометирован, вы должны явно отозвать его через настройки приложений Facebook или Business Manager.

Доступ через cookie: более глубокая угроза

Как работают сессионные cookie Facebook

Хотя токены предоставляют доступ на уровне API, cookie предоставляют нечто, пожалуй, более опасное: полный доступ на уровне браузерной сессии к вашему аккаунту Facebook, неотличимый от реального входа в систему.

Два cookie являются критически важными:

c_user: содержит ваш числовой идентификатор пользователя Facebook. Сам по себе он не является секретным — ваш идентификатор пользователя полупубличен — но служит идентификационной половиной аутентификационной пары.

xs: сессионный аутентификационный cookie. Это и есть реальные учётные данные. В сочетании с c_user он представляет полностью аутентифицированную сессию Facebook. Любой, кто владеет обоими cookie, может импортировать их в любой браузер и немедленно получить полный доступ к вашему аккаунту.

Почему импорт cookie обходит двухфакторную аутентификацию

Вот что больше всего тревожит рекламодателей, когда они это понимают: перехват сессии через cookie полностью обходит двухфакторную аутентификацию.

Вот почему. Двухфакторная аутентификация (2FA) — это мера безопасности на этапе входа. Она проверяет вашу личность при создании новой сессии. Но когда кто-то импортирует ваши cookie c_user и xs, он не создаёт новую сессию — он возобновляет вашу существующую, уже аутентифицированную сессию. С точки зрения Facebook это выглядит идентично тому, как будто вы открываете новую вкладку браузера. Сессия уже была валидирована через 2FA, когда вы изначально вошли в систему.

Вот почему антидетект-браузеры и инструменты импорта cookie настолько опасны. Они не просто обходят запросы на вход — они принимают вашу полную аутентифицированную идентичность. Любой, у кого есть ваши cookie, может:

• Получить доступ к каждому рекламному аккаунту, связанному с вашим Business Manager
• Изменять настройки Business Manager (добавлять пользователей, переназначать активы)
• Изменять настройки безопасности аккаунта (отключить 2FA, изменить email/телефон)
• Получить доступ к беседам в Messenger и входящим сообщениям страницы
• Скачивать экспорты данных и резервные коды

Как крадут cookie

Наиболее распространённые векторы кражи cookie в рекламной индустрии:

1. Вредоносные расширения браузера: расширения с широкими разрешениями могут читать cookie любого домена, включая facebook.com. Пользователь никогда не видит никаких признаков того, что его cookie были похищены.

2. Вредоносное ПО типа инфостилер: семейства вредоносных программ RedLine, Raccoon и Vidar специально нацелены на базы данных cookie браузеров. Они извлекают cookie из Chrome, Firefox, Edge и других браузеров, упаковывают их и отправляют на серверы командования и управления. Эти украденные cookie затем продаются оптом в Telegram-каналах и на торговых площадках даркнета.

3. Фишинг с перехватом сессии: продвинутые фишинговые атаки используют инструменты обратного прокси, такие как Evilginx, для перехвата реальных сессионных cookie в режиме реального времени, пока жертва входит в систему через поддельную страницу входа. Это позволяет захватить даже сессии, защищённые двухфакторной аутентификацией.

4. Добровольная передача через серые инструменты: многие неофициальные рекламные инструменты явно требуют от пользователей экспортировать и передавать свои cookie Facebook. Пользователи делают это добровольно, потому что не понимают, что передают полный доступ к аккаунту. Смотрите наш анализ того, как работают серые инструменты Facebook для получения более подробной информации.

Взлом Chrome-расширения AdsPower: разбор случая

Что произошло

В январе 2024 года AdsPower — один из наиболее широко используемых антидетект-браузеров в индустрии партнёрского маркетинга и медиабаинга — подвергся атаке на цепочку поставок через своё Chrome-расширение. Инцидент стал наглядной демонстрацией того, что происходит, когда рекламные специалисты чрезмерно доверяют инструментам с глубоким доступом на уровне браузера.

Атака развернулась через скомпрометированное обновление расширения. Chrome-расширение AdsPower, которое требовало обширных разрешений браузера для функционирования как антидетект-инструмент, получило плановое обновление, содержавшее вредоносный код. Поскольку пользователи уже предоставили расширению широкие разрешения — доступ ко всем сайтам, возможность читать и изменять cookie, возможность перехватывать веб-запросы — вредоносное обновление не вызвало никаких дополнительных запросов разрешений.

Технический механизм

Внедрённый код специально нацеливался на взаимодействия с криптовалютными кошельками. Когда пользователь инициировал транзакцию в своём браузерном криптокошельке (например, MetaMask), скомпрометированное расширение перехватывало запрос на подпись транзакции и незаметно изменяло адрес кошелька-получателя на тот, который контролировал злоумышленник. Пользователь видел на экране правильный адрес, но реальная блокчейн-транзакция отправляла средства на другой кошелёк.

Было украдено около $4,7 миллиона в криптовалюте, прежде чем атака была обнаружена и расширение отозвано.

Почему это важно для рекламодателей

Взлом AdsPower актуален для каждого медиабайера по трём причинам:

Во-первых, он продемонстрировал, что расширения антидетект-браузеров являются высокоценными целями. Эти инструменты по своей природе требуют максимально инвазивных разрешений браузера. Им необходимо изменять cookie, менять отпечатки браузера, перехватывать запросы и внедрять скрипты. Те же самые разрешения делают их идеальными векторами атаки.

Во-вторых, он показал, что атаки на цепочку поставок могут скомпрометировать инструменты, которым доверяют миллионы людей. Сегодня вы можете проверить код инструмента, а завтра он может быть скомпрометирован через автоматическое обновление. Поверхность атаки не является статичной.

В-третьих, он доказал, что риск не ограничивается рекламой. Если вы используете антидетект-браузер для своих рекламных операций, любая другая чувствительная деятельность в этой браузерной среде — банкинг, криптовалюта, электронная почта, другие бизнес-аккаунты — также подвергается опасности. То же расширение, которое управляет отпечатками вашего браузера, может читать ваши банковские cookie, перехватывать ваши email-сессии и получать доступ к любому аутентифицированному сервису в браузере.

Официальный OAuth против извлечения токена: фундаментальное различие

Как работает OAuth (безопасный способ)

Когда легитимная рекламная платформа нуждается в доступе к вашим рекламным аккаунтам Meta, она использует официальный поток авторизации OAuth 2.0 от Meta:

1. Вы нажимаете «Войти через Facebook» на платформе
2. Вас перенаправляют на официальный домен Meta (facebook.com)
3. Meta точно показывает, какие разрешения запрашивает приложение
4. Вы одобряете конкретные разрешения, с которыми вам комфортно
5. Meta выдаёт токен непосредственно приложению — вы никогда его не видите и не обрабатываете
6. Токен ограничен только теми разрешениями, которые вы одобрили
7. Вы можете отозвать доступ в любое время из настроек Facebook

Этот поток обеспечивает несколько критически важных свойств безопасности:

• Ограниченные разрешения: приложение получает только те конкретные разрешения, которые вы одобрили. Если вы предоставляете только ads_read, приложение не может изменять ваши кампании.
• Отзываемый доступ: вы можете мгновенно отозвать доступ приложения из Настроек Facebook > Приложения и сайты, и токен немедленно становится недействительным.
• Журнал аудита: Meta регистрирует все вызовы API, сделанные с токеном, связанные с конкретным приложением, которое их запросило.
• Отсутствие раскрытия учётных данных: вы никогда не видите, не копируете и не обрабатываете токен. Он передаётся напрямую с серверов Meta на серверы приложения.
• Ответственность приложения: приложение зарегистрировано в Meta, имеет App ID и подпадает под политики платформы Meta. Если оно нарушает правила, Meta может полностью отозвать его доступ к API.

Как работает извлечение токена (опасный способ)

Серые инструменты используют совершенно другой подход:

1. Вы входите в Facebook в своём браузере
2. Инструмент инструктирует вас открыть Chrome DevTools (F12)
3. Вы переходите на вкладку Application, находите cookie или делаете конкретный вызов API
4. Вы копируете необработанный токен доступа или значения cookie
5. Вы вставляете их в сторонний инструмент

Этот подход не обладает ни одним из свойств безопасности OAuth:

• Отсутствие ограничения разрешений: извлечённый токен несёт ваши полные разрешения, а не ограниченное подмножество
• Отсутствие механизма отзыва: инструмент имеет необработанный токен и может хранить его, передавать или использовать даже после того, как вы попытаетесь отозвать доступ
• Отсутствие журнала аудита: вызовы API, сделанные с вашим извлечённым токеном, неотличимы от вызовов, которые вы делаете сами
• Полное раскрытие учётных данных: вы обрабатываете необработанные учётные данные, которые при перехвате в любой точке (буфер обмена, скриншот, небезопасная отправка формы) дают полный доступ
• Отсутствие ответственности приложения: инструмент не зарегистрирован в Meta и не может быть заблокирован через механизмы применения политик Meta

Как защитить свою рекламную операцию

Немедленные действия

1. Проведите аудит подключённых приложений прямо сейчас. Перейдите в Настройки Facebook > Безопасность и вход > Приложения и сайты. Удалите всё, что вы активно не используете и не узнаёте. Для Business Manager проверьте Настройки бизнеса > Пользователи > Системные пользователи на наличие токенов, которые вы не создавали.

2. Включите двухфакторную аутентификацию на каждом аккаунте, который касается ваших рекламных операций — вашем личном аккаунте Facebook, каждом администраторе Business Manager, вашем аккаунте электронной почты и вашем регистраторе доменов. Используйте приложение-аутентификатор (не SMS) для кодов.

3. Немедленно прекратите передачу необработанных токенов. Если любой инструмент в вашем рабочем процессе требует извлечения и вставки токена доступа или cookie, этот инструмент является угрозой безопасности. Перейдите на платформу, использующую OAuth.

4. Проверьте расширения браузера. Просмотрите каждое расширение, установленное в любом браузере, где вы входите в Facebook. Удалите все расширения, без которых вы можете обойтись. Обратите особое внимание на расширения, запрашивающие доступ к «всем сайтам» или «чтению и изменению всех ваших данных на посещаемых сайтах».

5. Используйте отдельные профили браузера. Ваша рекламная сессия Facebook не должна использовать один профиль браузера с личным просмотром, криптокошельками, банкингом или другой чувствительной деятельностью. Создайте отдельный профиль Chrome для управления рекламой.

Постоянные практики безопасности

Следите за несанкционированной активностью. Регулярно проверяйте свой Журнал активности на действия, которые вы не выполняли — особенно изменения настроек Business Manager, новые рекламные аккаунты или незнакомые кампании. Настройте уведомления о входе Facebook, чтобы получать уведомления о новой активности сессий.

Применяйте ограничения по IP. В Business Manager включите настройку «Требовать двухфакторную аутентификацию для всех». Для токенов системных пользователей ограничьте доступ к API конкретными IP-адресами, если ваша рекламная платформа это поддерживает.

Ротируйте учётные данные по расписанию. Токены системных пользователей следует ротировать не реже одного раза в квартал. Регулярно проверяйте и перегенерируйте долгосрочные токены. Если какой-либо член команды уходит или какой-либо инструмент выводится из эксплуатации, немедленно отзовите все связанные токены.

Используйте токены системных пользователей вместо личных токенов. По возможности создавайте системных пользователей в Business Manager для API-интеграций. Это отвязывает API-доступ от личных аккаунтов, позволяет гранулярный контроль разрешений и обеспечивает отзыв без затрагивания каких-либо пользователей-людей.

Обучайте свою команду. Каждый человек, который касается ваших рекламных аккаунтов, должен понимать основы: никогда не передавать токены или cookie, никогда не устанавливать непроверенные расширения браузера, всегда использовать официальные потоки OAuth и немедленно сообщать о любой подозрительной активности аккаунта.

Что делать, если вы подозреваете компрометацию

Если вы полагаете, что токен или cookie был скомпрометирован:

1. Немедленно выйдите из всех сессий: Настройки Facebook > Безопасность и вход > Где выполнен вход > Выйти из всех сессий
2. Смените пароль: это аннулирует сессионные cookie (но не все типы токенов)
3. Отзовите все разрешения приложений: удалите каждое подключённое приложение и повторно авторизуйте только те, которым доверяете
4. Проверьте настройки Business Manager: ищите новых пользователей, изменённые разрешения или незнакомых системных пользователей
5. Проверьте недавнюю рекламную активность: проверьте наличие несанкционированных кампаний, изменений бюджета или модификаций креативов
6. Включите уведомления о входе: настройте уведомления о нераспознанных входах
7. Обратитесь в поддержку Meta: если вы видите признаки несанкционированного доступа, сообщите об этом через Meta Business Help Center

Общая картина: почему это важно для вашего бизнеса

Риски безопасности, описанные здесь, — это не абстрактные угрозы. Это операционная реальность индустрии, где границы между легитимными инструментами и серыми сервисами часто намеренно размыты. Каждый раз, когда вы передаёте токен, импортируете cookie в антидетект-браузер или устанавливаете расширение, которое не проверили тщательно, вы идёте на компромисс между удобством и безопасностью.

Для более глубокого понимания того, что происходит, когда Meta обнаруживает использование несанкционированных инструментов, прочитайте наш гайд по нарушениям условий сервиса Meta и их последствиям. А если вы в настоящее время используете клоакинг или другие методы уклонения, наш анализ рисков клоакинга в 2026 году объясняет, почему окно для этих методов быстро закрывается.

Рекламные платформы, которые выживут и вырастут, — это те, что построены на официальном API-доступе, потоках OAuth и прозрачных практиках безопасности. Эпоха извлечения токенов и передачи cookie заканчивается — не из-за моральных аргументов, а потому что финансовые и операционные риски стали неоправданными.