Ново изтичане на данни от Facebook – засегнати са поне 120 милиона потребители

0
62
Ново изтичане на данни от Facebook - засегнати са поне 120 милиона потребители

С всеки изминал ден по всичко личи, че скандалът с Cambridge Analytica е бил само върхът на айсберга. Сега се оказва, че друго подобно Facebook куиз приложение е изложило личните данни на 120 милиона потребители.

Приложението NameTests достъпва нужната му информация чрез Facebook API, но има сериозни уязвимости на уеб сайта си. На показ са изложени важни потребителски данни като снимки, статуси, списъци с приятели, имена, рождени дати и пр., съобщава етичният хакер Inti De Ceukelaire в блога си. Според De Ceukelaire информацията може да бъде достъпена дори и след изтриването на приложението.

Изследователят е направил своето откритие след като е бил нает да участва в програма за намиране на бъгове след скандала с Cambridge Analytica. Той открил, че след участието му във Facebook куиза, неговите имена, рождена дата и местоположение са били запазени в JavaScript, който може да бъде зареждан от други сайтове и откраднат със следния адрес, който предоставя токен, позволяващ достъп до всички лични данни:

https://nametests.com/appconfig_user/

De Ceukelaire e уведомил Facebook за тази ужасна уязвимост още на 22-и април тази година, но цял месец по късно от компанията са му обяснили ,че ще им отнеме от три до шест месеца, за да разучат случая. По-късно той установява, че уязвимостта е поправена на 25-и юни от компанията, която разработва приложението, които от своя страна са потвърдили пред него, че тя вече не се експлоатира от трети страни.

Уязвимостта в NameTests датира от 2016-а година, а приложението има 120 милиона потребители месечно, което означава, че това число е минимумът на засегнатите профили. Те всъщност биха могли да са в пъти повече. De Ceukelaire обяснява, че с експлоатирането на тази зависимост потребителите могат да бъдат изнудвани, недоброжелатели могат да излагат на показ личните ви данни на вашите приятели, да ви се предлагат различни реклами, включително и политически такива и пр.

Прочетете още:  Windows 10 Mobile е в застой

Чак преди два дни от Facebook със сериозно закъснение са се свързали с Inti De Ceukelaire, за да му потвърдят, че уязвимостта в NameTests е поправена и той получава награда от $8000 като част от програмата за търсене и намиране на бъгове. Едно е сигурно – подобни случаи са стотици и само предстои да бъдат открити, а от Facebook не приемат за проблем компании и приложения от трети страни да използват техния API, давайки им пълен достъп до данните на своите потребители, при това без тяхното съгласие.

0/5 (0 Reviews)