Facebook quiz-app udsatte data fra 120 millioner mennesker i årevis

Kan du huske, da du tog den lille Facebook-quiz, der hævdede at afsløre ”hvilken type skønhed du besidder”?

Eller den sjove foto-app, der gjorde dig om til et magasinomslagsmodel? Eller måske den test, der fortalte dig, hvilken slags 'Game of Thrones' -karakter der passer dig?

Indrøm det, du har taget en række af disse Facebook-test, ikke?



Quizzer som disse er nogle af de sociale mediewebs mest populære skyldige fornøjelser. Hvis alle dine Facebook-venner tager dem, er de sandsynligvis i orden, kan du tænke.

Nå, Cambridge Analytica-skandalen mindede os om, hvordan disse tilsyneladende ufarlige og sjove quizzer og apps kan være trojanske heste til massiv dataindsamling.

Tag f.eks. Denne populære Facebook-quiz-app fra tredjepart. Det ser ud til, at det har lækket brugerinformation i årevis!

Er du en af ​​120 millioner?

(Nej, dette er ikke en anden fjollet quiz.)

NameTests, en af ​​Facebooks største quiz-app-platforme, har i årevis offentliggjort data fra op til 120 millioner mennesker, inklusive navne, fødselsdato, fotos og statusopdateringer.

Sikkerhedsforsker Inti De Ceukelaire opdagede den alarmerende fejl og rapporterede den via Facebooks nye Program for misbrug af data misbrug. Bemærk: Dette program blev lanceret som en del af Facebook's igangværende nedbrud på misbrugte tredjepartsapps.

I modsætning til i Cambridge Analytica-sagen, hvor quizudvikleren villigt delte dataene med analysefirmaet, blev Nametests datalækage forårsaget af en fejl på sin hjemmeside.

I henhold til De Ceukelaire's fund, henter hver sin Facebook-brugers personlige oplysninger hver gang nogen tager et NameTests-quiz, og det vises på en webside.

Problemet? Denne side var dårligt konfigureret og gjorde det muligt for nogen at få adgang til den.

”Jeg var chokeret over at se, at disse data [var] offentligt tilgængelige for enhver tredjepart, der anmodede om det,” skrev de Cuekelaire i et blogindlæg. 'I en normal situation ville andre websteder ikke kunne få adgang til disse oplysninger.'

Den quiz, der blev ved med at give

For at bevise, hvor let det var at stjæle en persons personlige oplysninger gennem webstedet, opsatte han sin egen webside, der blev knyttet til NameTests.com og hentede data om hver besøgende.

Via sit testwebsted var han i stand til at høste de private fotos, venneliste, statusopdateringer for hver besøgende, der tidligere har brugt NameTests, selv efter at de har slettet appen fra deres Facebook-konto.

NameTests.com

NameTests-webstedet gav også et hemmeligt adgangstoken, der gav ham adgang til disse oplysninger i op til to måneder.

Ifølge de Cuekelaire har fejlen været der mindst i slutningen af ​​2016 og baseret på NameTests antal månedlige brugere, kan det have offentliggjort oplysninger fra mere end 120 millioner mennesker.

Se videoen nedenfor for at se NameTests-webstedets fejl i handling:

Facebook's svar

Baseret på de Cuekelaire's tidslinje rapporterede han fejlen til Facebook den 22. april.

Den 25. juni bemærkede han, at NameTests har rettet fejlen, og at tredjepart ikke længere kunne få adgang til brugernes personlige oplysninger.

Og endelig, den 28. juni, offentliggjorde Facebook sin officielle offentlige erklæring vedrørende fejlen med NameTests og bekræftede, at rettelsen faktisk var på plads.

Facebook tilbagekaldte også de tidligere NameTests-adgangstoketter for alle Facebook-brugere, der tidligere har brugt appen.

For sin indsats tildelte Facebook $ 4.000 til de Cuekelaire som en del af bug-bounty-programmet. Han donerede i stedet beløbet til Foundation for Freedom of Press, hvilket Facebook straks matchede, hvilket bragte det samlede beløb til $ 8.000.

Klik her for at læse de Cuekelaires fulde blogindlæg om Medium.

Hvordan Facebook-tredjepartsapps kan være farligt

Trods Facebooks igangværende nedbrud er NameTests-sagen som normalt endnu mere et bevis på, at tredjepartsapps kan udsætte dine oplysninger uden din viden!

Når du nu tager den tilsyneladende ufarlige quiz, app eller spil, skal du kontrollere dens tilladelser omhyggeligt. Hvis det beder om mere end dine grundlæggende offentlige oplysninger, skal du tænke to gange, før du logger ind og giver dem adgang til din Facebook-profil.

Her er en ting mere, du har brug for at vide. Når du autoriserer en tredjepartsapp til at få adgang til dine Facebook-data, kan den forblive på din profil for evigt.

Hvis du ikke reviderer dine tredjeparts Facebook-apps, kan de få adgang til dine data i årevis uden din viden!

Så i navnet på din sikkerhed er det tid til at revidere disse tredjeparts Facebook-apps.