Hacker tvrdí, že kvízy na Facebooku sú stále nebezpečné

Dejiny majú tendenciu sa opakovať. Mesiace po Cambridge Analytica mohlo mať 120 miliónov používateľov Facebooku prístup k ich údajom na škodlivých webových stránkach po tom, čo kvízová spoločnosť vložila údaje ako meno, pohlavie a dokonca aj fotografie do ľahko prístupného Javascriptu. Keď Facebook pokračuje v audite stoviek aplikácií tretích strán, hackerka Inti De Ceukelaire sa podelila o to, ako mohla chyba zabezpečenia na kvízovej platforme nametests.com odhaliť údaje o 120 miliónoch používateľov.

Ceukelaire, zvedavý po škandále Cambridge Analytica, sa rozhodol absolvovať svoj úplne prvý kvíz na Facebooku, aby využil svoje hackerské schopnosti a zistil, ako platforma tretej strany použila jeho dáta. Použil platformu, ktorú najviac využívajú jeho priatelia z Facebooku, nametests.com, a absolvoval kvíz: „Ktorá Disney princezná ste?“

Ceukelaire na základe svojho hackerského pozadia sledoval údaje a našiel svoje informácie v ľahko prístupnom Javascripti. Formát Javascript je navrhnutý na zdieľanie, čo znamená, že k týmto údajom môže získať prístup každá stránka, ktorú po tomto teste navštívite. Údaje zahŕňajú údaje ako používateľské meno, pohlavie a zoznamy priateľov. a zdieľané príspevky.

Povaha Javascriptu znamená, že niekto, kto test absolvoval, bude musieť navštíviť škodlivý web, aby mohol dôjsť k úniku údajov, takže chyba neznamená, že boli ohrozené údaje za všetkých 120 miliónov používateľov platformy. Ľahká dostupnosť týchto údajov je však znepokojujúca, hovorí Ceukelaire. Ako príklad toho, čo by sa mohlo stať s týmto typom bezpečnostnej chyby, mohla pornografická webová stránka získať prístup k zoznamu priateľov a použiť tento zoznam priateľov na vydieranie používateľov s hrozbou vystavenia, navrhol Ceukelaire.

Po návšteve škodlivej webovej stránky by boli údaje prístupné až dva mesiace. Odstránenie domény nametests.com tiež problém nevyrieši - používatelia tiež musia vymazať súbory cookie v zariadení, aby zastavili prístup k údajom.

V rámci programu Facebook Data Abuse Bounty bola zraniteľnosť teraz opravená; Ceukelaire venoval odmenu na charitu. Spoločnosť Nametests tvrdí, že nenájde nič, čo by naznačovalo, že došlo k zneužitiu údajov, a tvrdí, že zaviedla ďalšie testy, aby sa v budúcnosti predišlo podobným únikom údajov. Facebook tiež zrušil všetok prístup k nametestom, čo znamená, že používatelia budú musieť aplikácii znova udeliť povolenie, aby kvízy mohli naďalej používať.

Možno je však ešte znepokojujúcejšie, že po štúdii Cambridge Analatica a potom, čo vedci v oblasti údajov navrhli, že na sledovanie vašich údajov existuje väčšina kvízov na Facebooku, a po odhalení ďalšej kvízovej aplikácie môžu online kvízové ​​platformy stále tvrdiť, že majú 120 miliónov používateľov mesačne. Zisťuje sa, ktorej Disney princeznej sa oplatí umožniť inej spoločnosti prístup k vašim údajom na Facebooku?

Už sa zúčastňujete kvízu? Tu nájdete informácie o tom, ako upraviť nastavenia zabezpečenia.

Posledné príspevky