Что такое токен EAAB в рекламе Facebook?

Токен EAAB (Extended Access API Bearer token) — это долгоживущий токен доступа, предоставляющий доступ на уровне API к рекламным аккаунтам Facebook. Обычно несёт права вроде ads_management и business_management. Grey-hat инструменты извлекают эти токены из сессий браузера или расширений Chrome.

Как grey-hat инструменты извлекают токены Facebook?

Grey-hat инструменты извлекают токены EAAB через перехват расширением Chrome (инъекция скриптов в веб-интерфейс Facebook), экспорт куки браузера (извлечение сессионных куки для генерации токенов) и прямую автоматизацию браузера (использование headless-браузеров для симуляции входа).

В чём разница между инструментами на основе токенов и куки?

Инструменты на основе токенов (Dolphin Cloud, FBTool) извлекают API-токены EAAB с конкретными рекламными правами. Инструменты на основе куки (Nooklz, Saint.tools) захватывают полные сессионные куки браузера, предоставляя полный доступ к аккаунту. Доступ через куки шире, но менее стабилен.

Какие данные раскрываются при передаче токенов Facebook инструменту?

При передаче токенов EAAB вы раскрываете: данные рекламного аккаунта, платёжную информацию, данные аудиторий, креативные ассеты и доступ к управлению страницами. Большинство grey-hat инструментов запрашивают широкие права.

Чем OAuth отличается от извлечения токенов?

OAuth (используемый официальными инструментами вроде AdRow) — это одобренный Meta поток аутентификации с явным согласием пользователя на конкретные права. Извлечение токенов полностью обходит этот поток, захватывая токены без ведома Meta.

Что произошло при утечке данных AdsPower?

В январе 2024 года AdsPower подвергся атаке на цепочку поставок через расширение браузера. Было украдено примерно $4.7 миллиона в криптовалюте. Утечка раскрыла сохранённые профили браузеров, включая данные сессий Facebook.

Можно ли отозвать доступ после передачи токенов grey-hat инструменту?

Для инструментов на основе токенов можно частично отозвать доступ, сменив пароль Facebook. Для инструментов на основе куки отзыв значительно сложнее — нужно выйти из всех сессий и сменить пароль.

Какой самый безопасный способ управления несколькими рекламными аккаунтами Facebook?

Самый безопасный метод — использование инструментов на базе официального Marketing API Meta, таких как AdRow, которые подключаются через OAuth с ограниченными правами и обеспечивают контролируемый пользователем отзыв доступа.

Безопасность токенов и куки Facebook Ads 2026

Каждый grey-hat инструмент для рекламы в Facebook требует одного для работы: доступа к вашему аккаунту Facebook. Как именно этот доступ получается — и что он раскрывает — это критический вопрос безопасности, который большинство медиабайеров никогда не задают. Эта статья предоставляет глубокий технический анализ двух основных методов: извлечения токенов EAAB и захвата сессий через куки.

Для более широкого анализа всех рисков grey-hat инструментов смотрите наш Полный анализ рисков 2026.

Как работает аутентификация Facebook

Прежде чем разобраться, как работают grey-hat инструменты, необходимо понять, как устроена аутентификация Facebook на техническом уровне.

Официальный поток OAuth

Когда легитимное приложение (например, AdRow) подключается к вашему аккаунту Facebook, оно следует потоку OAuth 2.0 от Meta:

Инициация пользователем: Вы нажимаете «Подключить через Facebook» в приложении
Диалог входа Meta: Facebook отображает диалог с правами доступа, показывая, что именно запрашивает приложение
Согласие пользователя: Вы явно одобряете или отклоняете каждую область прав
Выпуск токена: Meta выпускает токен доступа только с одобренными областями прав
Управление токеном: Токен имеет определённый срок жизни, может быть обновлён через официальные каналы и может быть отозван вами в любой момент

Этот поток проходит аудит Meta, отображается в настройках безопасности вашего Facebook и разработан для того, чтобы дать вам контроль над тем, к чему приложения могут получить доступ.

Что делают Grey-Hat инструменты вместо этого

Grey-hat инструменты полностью обходят этот поток. Они получают доступ двумя основными методами:

Извлечение токенов: Захват токенов EAAB из вашей сессии браузера
Захват куки: Экспорт ваших полных сессионных куки

Оба метода предоставляют провайдеру инструмента доступ без ведома Meta, без вашего детализированного согласия и без механизма отзыва, который вы контролируете.

Метод 1: Извлечение токена EAAB

Что такое токен EAAB?

EAAB расшифровывается как «Extended Access API Bearer» — это формат долгоживущего токена доступа, используемый Graph API Facebook. Когда вы взаимодействуете с рекламным интерфейсом Facebook, ваш браузер генерирует эти токены для аутентификации API-вызовов в фоновом режиме.

Токен EAAB выглядит следующим образом:

EAABsbCS1iHgBO[...примерно 200 символов...]ZD

Как работает извлечение

Grey-hat инструменты извлекают токены EAAB несколькими техническими методами:

Перехват расширением Chrome

Самый распространённый метод. Расширение Chrome (предоставленное grey-hat инструментом или сопутствующим сервисом) инъектирует JavaScript в веб-интерфейс Facebook. Этот скрипт отслеживает сетевые запросы, перехватывая API-вызовы, содержащие токены EAAB. Затем токен отправляется на серверы инструмента.

Браузер → Вызов API Facebook (содержит токен EAAB)
    ↓
Расширение Chrome перехватывает запрос
    ↓
Токен извлечён и отправлен на сервер grey-hat инструмента
    ↓
Сервер инструмента использует токен для API-вызовов от вашего имени

Экспорт куки браузера

Некоторые инструменты извлекают куки c_user и xs из вашей сессии Facebook. Эти куки могут быть использованы для генерации новых токенов EAAB путём воспроизведения запросов аутентификации к внутренним эндпоинтам Facebook.

Прямая автоматизация браузера

Менее распространённый, но используемый некоторыми инструментами метод: безголовый браузер автоматизирует ваш вход в Facebook, переходит в Ads Manager и захватывает токены EAAB, сгенерированные во время сессии.

Что предоставляют токены EAAB

Права доступа, встроенные в извлечённый токен EAAB, обычно включают:

Область прав	Что предоставляет	Уровень риска
`ads_management`	Создание, редактирование, удаление кампаний, групп объявлений, объявлений	Высокий
`ads_read`	Чтение всех рекламных данных и метрик эффективности	Средний
`business_management`	Доступ к настройкам Business Manager, добавление/удаление людей	Критический
`pages_manage_ads`	Создание объявлений, привязанных к вашим страницам Facebook	Высокий
`pages_read_engagement`	Чтение данных публикаций страниц и метрик вовлечённости	Средний
`read_insights`	Доступ к рекламным insights и аналитике	Средний

Предупреждение: Большинство grey-hat инструментов запрашивают или извлекают токены с максимально широкими правами. Вы не можете ограничить область действия извлечённого токена — он наследует все права, которые несёт ваша сессия.

Срок жизни и сохраняемость токенов

Тип токена	Срок жизни	Отзыв
Краткоживущий (официальный)	1-2 часа	Автоматическое истечение
Долгоживущий (официальный)	60 дней	Отзыв пользователем через настройки
Извлечённый EAAB	До аннулирования сессии	Требуется смена пароля
Токен системного пользователя	Не истекает	Только администратор Business Manager

Извлечённые токены могут оставаться действительными неделями или месяцами, если вы активно не аннулируете их, сменив пароль или выйдя из всех сессий.

Метод 2: Захват сессии через куки

Как работает захват куки

Инструменты на основе куки используют другой подход. Вместо извлечения конкретного API-токена они захватывают всю вашу сессию Facebook через куки браузера.

Критические куки:

Куки	Назначение	Что предоставляет
`c_user`	Идентификатор пользователя	Идентифицирует ваш аккаунт Facebook
`xs`	Секрет сессии	Аутентифицирует вашу сессию
`datr`	Идентификатор браузера	Отслеживает устройство/браузер
`fr`	Отслеживание Facebook	Рекламное отслеживание

С помощью куки c_user и xs инструмент может фактически «стать» вами — получить доступ к Facebook так, как будто он вошёл в ваш аккаунт из вашего браузера.

Куки vs. Токен: ключевые различия

Аспект	На основе токенов	На основе куки
Область доступа	Уровень API (конкретные права)	Полный доступ к аккаунту
Что раскрывается	Рекламные данные и управление	Всё: сообщения, профиль, настройки, реклама
Стабильность	Относительно стабильный (недели-месяцы)	Хрупкий (сессия может быть аннулирована)
Риск обнаружения	Средний (API-паттерны)	Повышенный (аномалии сессии)
Отзыв	Смена пароля	Смена пароля + выход из всех сессий
Риск данных при взломе инструмента	Рекламные данные	Полный захват аккаунта

Предупреждение: Доступ на основе куки принципиально опаснее, чем доступ на основе токенов, потому что он раскрывает весь ваш аккаунт Facebook — не только рекламные функции. Скомпрометированный инструмент на основе куки может получить доступ к вашим личным сообщениям, спискам друзей и данным профиля.

Какие инструменты какой метод используют

Инструмент	Основной метод	Дополнительный метод
Dolphin Cloud	Токен (EAAB)	Импорт куки
FBTool	Токен + Неофициальный API	Импорт куки
Nooklz	На основе куки	—
Saint.tools	На основе куки	—
AdRow	Официальный OAuth	—

Последствия для безопасности

Что происходит, когда вы передаёте доступ

Когда вы предоставляете токены или куки grey-hat инструменту, вы создаёте цепочку безопасности с множественными точками отказа:

Ваш аккаунт Facebook
    ↓
Токен/куки извлечены
    ↓
Переданы на серверы инструмента (шифрование неизвестно)
    ↓
Сохранены в базе данных инструмента (безопасность неизвестна)
    ↓
Используются для API-вызовов (логирование неизвестно)
    ↓
Потенциально доступны сотрудникам инструмента
    ↓
Потенциально доступны при взломе инструмента

Каждое звено в этой цепочке — потенциальная точка компрометации. Вы доверяете провайдеру инструмента:

Безопасность передачи: Зашифрован ли токен/куки при передаче?
Безопасность хранения: Зашифрован ли он в состоянии покоя? Кто имеет доступ к базе данных?
Контроль доступа: Какие сотрудники могут видеть ваши учётные данные?
Реагирование на взлом: Что происходит, если провайдер будет взломан?
Срок хранения данных: Как долго они хранят ваши токены/куки после того, как вы прекратили использовать сервис?

Для большинства grey-hat инструментов ответы на эти вопросы неизвестны, потому что они не публикуют никакой документации по безопасности.

Вектор атаки на цепочку поставок

Провайдеры grey-hat инструментов сами являются ценными целями для злоумышленников. Единственный взлом базы данных популярного инструмента может одновременно скомпрометировать тысячи аккаунтов Facebook. Это не гипотетика — такое уже происходило.

Кейс: Утечка AdsPower

Что произошло

В январе 2024 года AdsPower — антидетект-браузер, широко используемый в экосистеме grey-hat рекламы — подвергся изощрённой атаке на цепочку поставок. Атака была направлена на расширение браузера AdsPower, в которое был внедрён вредоносный код, который:

Перехватывал данные криптовалютных кошельков из профилей браузеров пользователей
Выгружал сохранённые учётные данные и данные сессий
Привёл к краже примерно $4.7 миллионов в криптовалюте

Почему это важно для рекламодателей Facebook

Хотя основной целью были криптовалютные кошельки, атака продемонстрировала критические уязвимости:

Сохранённые профили браузеров были скомпрометированы: AdsPower хранит полные среды браузеров, включая данные сессий Facebook
Атака через расширение: Тот же механизм расширений Chrome, используемый grey-hat инструментами для извлечения токенов, был превращён в оружие
Доверие к цепочке поставок: Пользователи доверили AdsPower свои профили браузеров, и это доверие было нарушено
Масштаб воздействия: Единственный скомпрометированный инструмент затронул тысячи пользователей одновременно

Более широкий урок

Утечка AdsPower иллюстрирует фундаментальный принцип безопасности: когда вы предоставляете свои учётные данные стороннему инструменту, ваша безопасность равна безопасности этого инструмента. Провайдеры grey-hat инструментов:

Работают с ограниченной прозрачностью
Часто не имеют сертификатов безопасности или аудитов
Могут хранить учётные данные без надлежащего шифрования
Являются привлекательными целями из-за ценности сохранённых учётных данных
Могут не раскрывать утечки своевременно (или вообще)

Совет: Спросите себя: «Каков бюджет безопасности инструмента, которому я доверяю свои аккаунты Facebook?» Если инструмент стоит $10-100/месяц, ответ почти наверняка «недостаточный».

OAuth vs. Извлечение токенов: прямое сравнение

Аспект	Официальный OAuth (AdRow)	Извлечение токенов (Grey-Hat)
Аутентификация	Одобренный Meta поток OAuth 2.0	Перехват браузера или экспорт куки
Согласие пользователя	Явное, по каждому праву	Отсутствует (захват без детального согласия)
Ограничение прав	Пользователь выбирает, что именно предоставить	Наследует все права сессии
Выпуск токена	Meta, с определённым сроком жизни	Путём извлечения, неопределённый срок
Журнал аудита	Виден в настройках безопасности Facebook	Невидим для Meta и пользователя
Отзыв	Один клик в настройках Facebook	Требуется смена пароля + аннулирование сессий
Соответствие Meta	Полное	Нарушает Условия использования
Риск при взломе провайдера	Ограничен одобренными областями	Полное раскрытие токенов/куки
Шифрование данных	Требуется по партнёрству с Meta	Неизвестно/не задокументировано
Аудит безопасности	Обязателен для доступа к API Meta	Отсутствует

Разница фундаментальна, а не количественна. OAuth — это система безопасности, разработанная для защиты пользователей. Извлечение токенов — это система, разработанная для обхода пользовательских защит.

Как оценить вашу текущую подверженность

Если вы сейчас используете или ранее использовали grey-hat инструменты, оцените вашу подверженность:

Немедленные проверки

Настройки безопасности Facebook → «Где вы вошли в систему»: Ищите сессии из неизвестных мест или устройств
Настройки безопасности Facebook → «Приложения и сайты»: Проверьте авторизованные приложения — удалите все незнакомые
Business Manager → «Люди»: Проверьте наличие незнакомых пользователей или ожидающих приглашений
Активность рекламного аккаунта: Просмотрите последние изменения на предмет тех, которые вы не совершали

Если вы подозреваете компрометацию

Немедленно смените пароль Facebook
Включите двухфакторную аутентификацию, если она ещё не активна
Выйдите из всех сессий (Настройки Facebook → Безопасность → «Выход из всех сессий»)
Проверьте и удалите все незнакомые авторизованные приложения
Проверьте ваши рекламные аккаунты на наличие несанкционированных кампаний или изменений бюджета
Проверьте ваш Business Manager на наличие несанкционированных пользователей
Рассмотрите возможность замены платёжных методов, привязанных к вашим рекламным аккаунтам

Путь к безопасному управлению рекламой

Риски безопасности доступа на основе токенов и куки не теоретические — они задокументированы, продемонстрированы и продолжают существовать. Фундаментальная проблема в том, что grey-hat инструменты требуют от вас передачи учётных данных, предоставляющих широкий доступ к вашей рекламной инфраструктуре Facebook, провайдерам, чьи практики безопасности неизвестны.

Официальные API-инструменты полностью устраняют эту категорию рисков:

Ограниченные права: Вы контролируете, к чему именно инструмент может получить доступ
Токены, выпущенные Meta: Аутентификация управляется инфраструктурой Meta
Контролируемый пользователем отзыв: Удалите доступ одним кликом
Журнал аудита: Весь доступ логируется и виден в настройках вашего Facebook
Требования безопасности: Meta требует от API-партнёров соответствия стандартам безопасности
Без хранения учётных данных: Инструмент никогда не владеет вашим паролем или сессионными куки

Готовы устранить риски безопасности токенов и куки? Начните 14-дневный бесплатный пробный период AdRow — официальный API Meta, аутентификация OAuth, нулевая экспозиция учётных данных.

Связанные статьи:

Facebook Ads инструменты на основе токенов и куки: глубокий анализ безопасности