Facebook App泄露1.2亿用户数据

  • A+
所属分类:网络安全新闻

最近在Nametests.com上发现的隐私问题导致超过1.2亿用户在Facebook上进行个性测验的数据公开曝光。

Facebook App泄露1.2亿用户数据

作为Facebook数据滥用赏金计划的一部分,该漏洞驻留在Nametests.com服务用户数据的任何第三方请求它,这通常不应该发生。

Facebook 在4月推出了数据滥用赏金计划,作为其在剑桥分析公司丑闻之后改善用户隐私的努力的一部分。该公司还更新了隐私和数据共享条款,但也承认通过互联网跟踪人们,即使那些不是Facebook用户。

Inte De Ceukelaire报道了Nametests.com中的问题,他发现在加载个性测试时,网站会从http://nametests.com/appconfig_user 获取他的所有个人信息并将其显示在页面上。

因为网页浏览器确实阻止了这些行为,所以通常不应该允许网站访问这些信息。但是,从Nametests.com请求的数据包含在JavaScript中,这意味着它可以与其他网站共享。

“由于NameTests在JavaScript文件中显示了用户的个人数据,因此几乎任何网站都可以在需要时访问它,”研究人员解释说。

为了验证这确实发生了,他建立了一个连接到Nametests.com的网站,并获取关于访问者的信息。根据授予的权限,Nametests.com提供的访问令牌也可用于访问访问者的帖子,照片和朋友。

“只需要访问我们的网站就可以访问某人长达两个月的个人信息,”De Ceukelaire说。

研究人员发现的另一个问题是,用户信息即使在删除应用程序后仍会继续暴露。由于没有注销功能,用户将不得不手动删除设备上的cookie以防止数据泄露。

该错误在4月22日向Facebook的数据滥用计划报告,并且在6月25日之前推出了一个修复方案,当时研究人员发现第三方不能像以前那样访问访问者的个人信息。

这个漏洞可能“影响了人们与nametests.com共享的Facebook信息。为了安全起见,我们撤销了Facebook上注册使用此应用程序的所有人的访问令牌。所以人们需要重新授权应用程序才能继续使用它,“Facebook 说。

该社交平台还捐赠了8,000美元(他们显然使4000美元的赏金翻了一番,因为研究人员选择将其捐赠给慈善机构)给新闻自由基金会。

“我也收到了来自NameTests的回复。公关团队声称,根据他们所掌握的数据和知识,他们没有发现第三方滥用的证据。他们还表示,他们已经实施了额外的测试,以发现这些错误,并在未来避免它们,“研究人员指出。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: