Istoria are tendința de a se repeta. La câteva luni după Cambridge Analytica, 120 de milioane de utilizatori Facebook ar putea avea acces la datele lor de pe site-uri web dăunătoare după ce o companie de testare a introdus date precum numele, sexul și chiar fotografiile în Javascript ușor accesibil. Pe măsură ce Facebook continuă să auditeze sute de aplicații terțe, hackerul Inti De Ceukelaire a împărtășit modul în care o vulnerabilitate de securitate pe platforma de testare nametests.com ar fi putut expune date de 120 de milioane de utilizatori.
Curios după scandalul Cambridge Analytica, Ceukelaire a decis să ia primul său test pe Facebook pentru a-și folosi abilitățile de hacking pentru a vedea modul în care platforma terță parte și-a folosit datele. El a folosit o platformă cea mai folosită de prietenii săi de pe Facebook, nametests.com, și a susținut un test: „Care prințesă Disney ești?”
Folosind fundalul său de hacking, Ceukelaire a urmărit datele și și-a găsit informațiile în Javascript ușor accesibil. Formatul Javascript este conceput pentru a fi partajat, ceea ce înseamnă că orice site pe care îl vizitați după test poate accesa aceste date. Datele includ lucruri precum numele de utilizator, sexul, listele de prieteni. și postări comune.
Natura Javascript înseamnă că cineva care a făcut testul ar trebui să viziteze un site web rău intenționat pentru a se produce o scurgere de date, astfel încât eroarea nu înseamnă că datele pentru toți cei 120 de milioane de utilizatori ai platformei au fost compromise. Cu toate acestea, accesibilitatea ușoară a acestor date este îngrijorătoare, spune Ceukelaire. Ca un exemplu de ceea ce s-ar putea întâmpla cu acest tip de defect de securitate, un site web pornografic ar putea accesa o listă de prieteni și ar putea folosi acea listă de prieteni pentru a șantaja utilizatorii cu amenințarea de expunere, a sugerat Ceukelaire.
După ce vizitați acea pagină web rău intenționată, datele vor fi accesibile timp de până la două luni. Ștergerea nametests.com nu rezolvă problema, de asemenea, utilizatorii trebuie să șteargă cookie-urile de pe dispozitiv pentru a opri accesul la date.
Ca parte a programului Facebook Abuz de date Bounty, vulnerabilitatea a fost acum corectată; Ceukelaire a donat recompensa pentru caritate. Nametests spune că nu a găsit nimic care să sugereze că datele au fost abuzate și spune că a pus teste suplimentare pentru a evita scurgeri similare de date în viitor. Facebook a revocat, de asemenea, tot accesul la Nametests, ceea ce înseamnă că utilizatorii vor trebui să acorde din nou permisiunea aplicației pentru a continua să folosească testele.
Dar poate că ceea ce este și mai desconcertant este că după Cambridge Analatica și după ce cercetătorii de date au sugerat că există mai multe teste de Facebook pentru a vă urmări datele și după ce a fost expusă o altă aplicație de testare, platformele de testare online pot spune în continuare că au 120 de milioane de utilizatori lunari. Aflați ce prințesă Disney meritați să permiteți unei alte companii să vă acceseze datele de pe Facebook?
Participați deja la test? Aflați cum să vă ajustați setările de securitate aici.
