另一款Facebook問答應用暴露了1.2億用戶的數據

人們仍在克服今年最具爭議的數據丑聞，即劍橋分析丑聞，Facebook在社交媒體平臺上的一款熱門問答應用多年來暴露了多達1.2億用戶的私人數據后再次受到攻擊。

一名道德黑客透露，如今，另一款名為NameTests的第三方測驗應用發現，任何碰巧發現Facebook用戶數據的人，都會將其泄露給1.2億用戶。

姓名測試[.]com，一個支持流行社交測驗的網站，比如“你是哪位迪士尼公主？”該網站每月擁有約1.2億用戶，使用Facebook的應用平臺提供快速注冊方式。

就像任何其他Facebook應用一樣，使用他們的應用在NameTests網站上注冊可以讓公司在征得同意的情況下從Facebook獲取關于你個人資料的必要信息。

然而，臭蟲賞金獵人和黑客Inti De Ceukelaire發現，該熱門問答網站正在將登錄用戶的詳細信息泄露給在同一瀏覽器中打開的其他網站，使任何惡意網站都可以輕松獲取該數據。

在昨天發布的一篇媒體帖子中，Ceukelaire表示，他喜歡參與Facebook最近在劍橋Analytica丑聞后發起的數據濫用懸賞計劃。于是，他開始查看他的朋友在Facebook上安裝的應用程序。

然后，Ceukelaire決定通過NameTests應用程序進行第一次測試，當他開始仔細查看測試過程時，他注意到該網站正在從https://nametests[]com/appconfig_用戶并在其網站上展示。

當Ceukelaire在一個JavaScript文件中看到自己的個人數據時，他感到震驚。當任何網站請求時，幾乎都可以輕松訪問該文件。

缺陷是什么？它是如何泄露用戶數據的？

This issue was due to a simple yet severe flaw in NameTests website that appears to have existed since the end of 2016.

將用戶數據存儲在JavaScript文件中會導致網站向其他網站泄漏數據，這是不可能的，因為瀏覽器的跨源資源共享（CORS）策略阻止網站在未經其他網站明確許可的情況下讀取其內容。

作為概念證明，Ceukelaire開發了一個惡意網站，可以連接到名稱測試，以挖掘使用該應用程序的訪問者的數據。通過使用一段簡單的代碼，他可以獲取參加測驗的人的姓名、照片、帖子、照片和朋友列表。

這位警惕的黑客還制作了一段視頻來證明他的發現，演示了NameTests網站在刪除應用程序后如何披露你的個人數據。

Ceukelaire在4月22日通過Facebook的數據濫用懸賞計劃報告了該漏洞，一個多月后，社交媒體通知他，可能需要三到六個月的時間來調查該問題。

在最初向Facebook報告這個問題兩個多月后，Ceukelaire注意到NameTests已經解決了這個問題，并告訴他，它沒有發現任何第三方濫用公開數據的證據。

6月27日，臉譜網聯系了Cukelaye并告訴他Noestes已經修復了這個問題，并根據他的請求，捐贈了8000美元給新聞自由基金會作為其數據濫用賞金計劃的一部分。

德國Social Sweeghters公司是NameTests的幕后推手，該公司聲稱擁有超過2.5億的注冊用戶，每月的頁面瀏覽量超過30億次。

最新的事件表明，即使這家社交媒體巨頭早在2015年就改變了應用程序在其平臺上訪問數據的條件，Facebook也未能充分監管這些能夠訪問其平臺上大量個人數據的應用程序。