另一款Facebook问答应用暴露了1.2亿用户的数据

人们仍在克服今年最具争议的数据丑闻，即剑桥分析丑闻，Facebook在社交媒体平台上的一款热门问答应用多年来暴露了多达1.2亿用户的私人数据后再次受到攻击。



一名道德黑客透露，如今，另一款名为NameTests的第三方测验应用发现，任何碰巧发现Facebook用户数据的人，都会将其泄露给1.2亿用户。

姓名测试[.]com，一个支持流行社交测验的网站，比如“你是哪位迪士尼公主？”该网站每月拥有约1.2亿用户，使用Facebook的应用平台提供快速注册方式。

就像任何其他Facebook应用一样，使用他们的应用在NameTests网站上注册可以让公司在征得同意的情况下从Facebook获取关于你个人资料的必要信息。

然而，臭虫赏金猎人和黑客Inti De Ceukelaire发现，该热门问答网站正在将登录用户的详细信息泄露给在同一浏览器中打开的其他网站，使任何恶意网站都可以轻松获取该数据。

在昨天发布的一篇媒体帖子中，Ceukelaire表示，他喜欢参与Facebook最近在剑桥Analytica丑闻后发起的数据滥用悬赏计划。于是，他开始查看他的朋友在Facebook上安装的应用程序。
然后，Ceukelaire决定通过NameTests应用程序进行第一次测试，当他开始仔细查看测试过程时，他注意到该网站正在从https://nametests[]com/appconfig_用户并在其网站上展示。

当Ceukelaire在一个JavaScript文件中看到自己的个人数据时，他感到震惊。当任何网站请求时，几乎都可以轻松访问该文件。

缺陷是什么？它是如何泄露用户数据的？

This issue was due to a simple yet severe flaw in NameTests website that appears to have existed since the end of 2016.

将用户数据存储在JavaScript文件中会导致网站向其他网站泄漏数据，这是不可能的，因为浏览器的跨源资源共享（CORS）策略阻止网站在未经其他网站明确许可的情况下读取其内容。

作为概念证明，Ceukelaire开发了一个恶意网站，可以连接到名称测试，以挖掘使用该应用程序的访问者的数据。通过使用一段简单的代码，他可以获取参加测验的人的姓名、照片、帖子、照片和朋友列表。

这位警惕的黑客还制作了一段视频来证明他的发现，演示了NameTests网站在删除应用程序后如何披露你的个人数据。

Ceukelaire在4月22日通过Facebook的数据滥用悬赏计划报告了该漏洞，一个多月后，社交媒体通知他，可能需要三到六个月的时间来调查该问题。

在最初向Facebook报告这个问题两个多月后，Ceukelaire注意到NameTests已经解决了这个问题，并告诉他，它没有发现任何第三方滥用公开数据的证据。

6月27日，脸谱网联系了Cukelaye并告诉他Noestes已经修复了这个问题，并根据他的请求，捐赠了8000美元给新闻自由基金会作为其数据滥用赏金计划的一部分。

德国Social Sweeghters公司是NameTests的幕后推手，该公司声称拥有超过2.5亿的注册用户，每月的页面浏览量超过30亿次。

最新的事件表明，即使这家社交媒体巨头早在2015年就改变了应用程序在其平台上访问数据的条件，Facebook也未能充分监管这些能够访问其平台上大量个人数据的应用程序。