Хакер каже, що вікторини у Facebook все ще небезпечні

Історія має тенденцію повторюватися. Через кілька місяців після Cambridge Analytica 120 мільйонів користувачів Facebook могли отримати доступ до своїх даних на шкідливих веб-сайтах після того, як компанія-вікторина розмістила такі дані, як ім’я, стать та навіть фотографії в легкодоступному Javascript. Поки Facebook продовжує проводити аудит сотень сторонніх додатків, хакер Inti De Ceukelaire поділився, як уразливість системи безпеки на тестовій платформі nametests.com могла виявити дані 120 мільйонів користувачів.

Цікаво після скандалу з Cambridge Analytica, Сеукелер вирішив пройти свою першу вікторину у Facebook, щоб використати свої навички злому, щоб побачити, як стороння платформа використовувала його дані. Він скористався платформою, якою найчастіше користуються його друзі у Facebook, nametests.com, і взяв вікторину: “Яка ти принцеса Діснея?”

Використовуючи свою хакерську історію, Сеукелер стежив за даними та знаходив свою інформацію в легкодоступному Javascript. Формат Javascript розроблений для спільного використання, що означає, що будь-який веб-сайт, який ви відвідаєте після цього тесту, може отримати доступ до цих даних. Дані включають такі речі, як ім’я користувача, стать, списки друзів. та спільні дописи.

Характер Javascript означає, що хтось, хто пройшов тест, повинен був відвідати шкідливий веб-сайт для витоку даних, тому недолік не означає, що дані для всіх 120 мільйонів користувачів платформи були скомпрометовані. Проте легка доступність цих даних викликає занепокоєння, каже Чекелер. Як приклад того, що може статися з таким типом недоліків безпеки, порнографічний веб-сайт може отримати доступ до списку друзів і використовувати цей список друзів, щоб шантажувати користувачів загрозою викриття, запропонував Чекелер.

Після відвідування цієї зловмисної веб-сторінки дані будуть доступні до двох місяців. Видалення nametests.com також не вирішує проблему - користувачі також повинні видалити файли cookie на пристрої, щоб зупинити доступ до даних.

В рамках програми Facebook за зловживання даними Facebook вразливість тепер виправлена; Цокелер подарував нагороду на благодійність. Nametests каже, що ітд не знайшов нічого, що свідчить про зловживання даними, і каже, що проводить додаткові тести, щоб уникнути подібних витоків даних у майбутньому. Facebook також скасував будь-який доступ до Nametests, а це означає, що користувачам доведеться знову надати додатку дозвіл, щоб продовжувати використовувати вікторини.

Але, можливо, ще більше викликає занепокоєння те, що після Cambridge Analatica та після того, як дослідники даних припустили, що для відстеження ваших даних існує більшість тестів Facebook, а також після викриття іншої програми-вікторини, онлайн-вікторини все ще можуть заявляти, що вони мають 120 мільйонів користувачів на місяць. Дізнатися, якій принцесі Діснея ви варті дозволу іншій компанії отримати доступ до ваших даних у Facebook?

Уже взяли вікторину? Дізнайтеся, як налаштувати параметри безпеки тут.

Останні повідомлення