Hacker pravi, da so kvizi na Facebooku še vedno nevarni

Zgodovina se ponavadi ponavlja. Mesece po Cambridge Analytica bi lahko 120 milijonov uporabnikov Facebooka dostopalo do njihovih podatkov z zlonamernimi spletnimi mesti, potem ko je kviz v podatke, kot so ime, spol in celo fotografije, postavil v lahko dostopen Javascript. Medtem ko Facebook nadaljuje z revizijo več sto neodvisnih aplikacij, je heker Inti De Ceukelaire delil, kako bi lahko varnostna ranljivost na kvizni platformi nametests.com razkrila podatke 120 milijonov uporabnikov.

Nenavaden po škandalu Cambridge Analytica se je Ceukelaire odločil, da bo že prvi kviz na Facebooku uporabil svoje hekerske sposobnosti, da bi ugotovil, kako je neodvisna platforma uporabila njegove podatke. Uporabil je platformo, ki so jo najpogosteje uporabljali njegovi prijatelji na Facebooku, nametests.com, in izvedel kviz: "Katera Disneyjeva princesa si ti?"

Ceukelaire je s pomočjo hekerskega ozadja sledil podatkom in svoje podatke našel v lahko dostopnem Javascriptu. Oblika Javascripta je zasnovana za skupno rabo, kar pomeni, da bi lahko katero koli spletno mesto, ki ga obiščete po preizkusu, dostopalo do teh podatkov. Podatki vključujejo stvari, kot so uporabniško ime, spol, seznami prijateljev. in skupne objave.

Narava Javascripta pomeni, da bi moral nekdo, ki je opravil test, obiskati zlonamerno spletno mesto, da bi prišlo do uhajanja podatkov, zato napaka ne pomeni, da so bili ogroženi podatki za vseh 120 milijonov uporabnikov platforme. Lahka dostopnost teh podatkov pa je zaskrbljujoča, pravi Ceukelaire. Kot primer, kaj se lahko zgodi s to vrsto varnostne napake, lahko pornografsko spletno mesto dostopa do seznama prijateljev in ga uporablja za izsiljevanje uporabnikov z grožnjo izpostavljenosti, je predlagal Ceukelaire.

Ko obiščejo to zlonamerno spletno stran, bi bili podatki dostopni do dva meseca. Tudi brisanje nametests.com težave ne reši - uporabniki morajo tudi izbrisati piškotke v napravi, da ustavijo dostop do podatkov.

Kot del Facebookovega programa Data Abuse Bounty je bila ranljivost zdaj odpravljena; Ceukelaire je nagrado podaril v dobrodelne namene. Nametests pravi, da itdid ni našel ničesar, kar bi nakazovalo, da so bili podatki zlorabljeni, in pravi, da je opravil dodatne teste, da bi se v prihodnosti izognili podobnim uhajanjem podatkov. Facebook je preklical tudi vsak dostop do Nametests, kar pomeni, da bodo morali uporabniki še naprej dovoljevati aplikaciji, da bodo lahko še naprej uporabljali kvize.

Morda pa je še bolj vznemirljivo to, da po Cambridgeu Analatica in potem, ko so raziskovalci podatkov predlagali, da obstaja večina kvizov na Facebooku za sledenje vašim podatkom, in potem, ko je bila razkrita druga aplikacija za kviz, lahko spletne kviz platforme še vedno trdijo, da imajo 120 milijonov mesečnih uporabnikov. Ali ugotovite, katera Disneyjeva princesa ste vredna, da drugemu podjetju omogočite dostop do vaših Facebook podatkov?

Že sodelujete v kvizu? Tukaj preberite, kako prilagodite varnostne nastavitve.

Zadnje objave