导语:近日,一位安全研究人员发现,Facebook上一款名为NameTests的第三方测验应用存在安全漏洞,该漏洞使多达1.2亿名Facebook用户的个人信息面临泄露风险,即使是用户删除了这款应用,数据也依然会被泄漏,这种情况已经存在一年多了。

<head>

<meta name='360_ssp_verify' content='0b75e82a2c9cbcd6e5df317b1cd58ebd' />

4a36acaf2edda3cccfad4fb902e93901203f92da.jpg

社交网络巨头Facebook早前因涉嫌泄露超过5000万用户的个人信息,一时间引发舆论争议,创始人马克.扎克伯格不仅为此公开道歉,而且亲赴美国国会接受质询。然而一波未平一波又起,近日Facebook再曝数据丑闻, 1.2亿用户面临隐私泄露风险.

北京时间6月29日早间消息,一位名叫Inti De Ceukelaire的安全研究人员发现,Facebook上一款名为NameTests的第三方测验应用存在安全漏洞,该漏洞使多达1.2亿名Facebook用户的个人信息面临泄露风险,即使是用户删除了这款应用,数据也依然会被泄漏,这种情况已经存在一年多了。

NameTests是德国应用开发商Social Sweethearts推出了颇受欢迎的社交测验,如“哪个迪士尼公主是你?”。

nametests.png

Inti De Ceukelaire早在4月份,就向Facebook的“数据滥用悬赏”(Data Abuse Bounty)计划项目报告了这个问题。

Inti De Ceukelaire发现,这种漏洞至少从2016年下半年就存在,泄漏的数据将包括你的Facebook ID、姓名、性别、出生日期、使用的语言、使用的货币、个人资料照片、封面照片、使用的设备、最新信息、帖子和状态、照片和朋友。

Facebook在5月对第三方应用进行了一次审计,其结果是约200个应用遭到封停。在剑桥分析公司滥用数据丑闻曝光后,Facebook也阻止了许多新应用加入该平台。不过在今年5月举行的年度F8开发者大会上,Facebook又重新开放了应用审查程序。现在看来,Facebook还面临着更多问题。

数据泄露过程

在上次的数据泄露过程中,就是一款名为“thisisyourdigitallife”的应用收集了5000万Facebook用户的数据,并将数据转移给位于伦敦的政治分析公司Cambridge Analytica。

Cambridge Analytica参与了特朗普团队的2016年美国大选竞选,向特朗普团队提供了关于选民的详细信息。这次也一样,Nametests上的一个漏洞数据显示,超过1.2亿用户在Facebook上进行个性测验。

2018063009103918G.jpg

这个漏洞存在于Nametests,它与任何请求它的第三方共享用户数据。

Inti De Ceukelaire发现,当加载个性测试时,该网站会显示从http://nametests.com/appconfig_user加载的个人信息。

从Nametests.com加载的数据被封装在JavaScript中,这意味着它可以与其他网站共享数据。

Inti De Ceukelaire 分析到:

在正常情况下,其他网站将无法访问这些信息。网络浏览器已经建立了机制来阻止这种情况的发生。但由于NameTests是以JavaScript文件显示用户的个人数据,几乎任何网站都可以在他们请求时访问这些信息。

为了测试自己想法,Inti De Ceukelaire建立了一个网站,从Nametests.com网站上获取有关访客的数据。还有,NameTests提供的访问令牌也可用于访问访问者的帖子、照片和朋友,具体取决于授予的权限。

Inti De Ceukelaire补充道:

NameTests还会提供一个称为访问令牌的密钥,根据授予的权限,该密钥可用于访问访问者的帖子、照片和朋友。只需要一次访问,个性测试网站即可获得长达两个月的个人信息。

在专家发布的视频PoC中,显示了即使在删除应用后,NameTests仍然能泄露访问者的身份。

Facebook对漏洞的解决方式

自今年3月,因剑桥分析事件首次曝光数据丑闻后,Facebook声称5月已经对第三方应用进行了一次审计,对约200个应用进行了封停。但现在看来,Facebook的审计还不够全面。

Inti De Ceukelaire称,他在4月22日就上报了这个问题,但直到8天以后Facebook才作出回应称其正在展开调查。到5月14日,他去查看Facebook是否已经联系过NameTest的开发者;又过了8天,Facebook才回复称其可能需要3到6个月来进行调查。

到6月25日,De Ceukelaire注意到NameTest已经修复这个漏洞。在与Facebook取得联系后,该公司承认该漏洞已被修复,并同意向“新闻自由基金会”(Freedom of the Press Foundation)捐赠8000美元,以此作为悬赏计划的一部分奖金。历时一个月才修复“NameTests”安全漏洞的差劲表现,也再次引发了用户对Facebook数据安全的担忧。

不过,作为在Facebook平台上运行的恶意软件之一,NameTests在3月份开始的安全性审计测验中被漏掉了,尽管Facebook表示它已经在该调查中暂停了200多个应用,但显然像NameTests这样的应用还多得很。目前,我们暂且理解它是一个审计疏忽的结果吧。这也从侧面证明,Facebook平台的整体安全性目前差到何种程度,尤其是当用户在使用社交网络上的第三方应用时。

Social Sweethearts的回应

Social Sweethearts在一份声明中表示:

经过仔细调查,没有证据表明,应用程序里的个人数据已被泄露,并且更没有证据表明它被滥用。尽管如此,我们对数据安全非常重视,目前正在采取措施规避未来的风险。

缓解措施

Inti De Ceukelaire还发现,即使在删除应用程序后,用户信息仍可通过网站被获取。用户必须手动删除其设备上的cookie,以防止他们的数据泄露。

据Facebook称,该漏洞可能“已经影响了Facebook用户与nametests.com共享的信息”,为将危害降至最低,Facebook已撤销了Facebook上注册使用此应用的所有人的访问令牌。这可能会影响人们与nametests.com共享的Facebook信息,所以人们需要重新授权应用程序才能继续使用它。

GDPR对Facebook业务模式的影响

挪威消费者委员会(NCC)在4月和5月对Facebook、谷歌和Windows 10进行了分析,发现许多默认设置是“侵犯隐私”的,并且有误导性的措辞,以使用户产生“自己在控制的错觉”,并隐藏有利于保护隐私的选项。该报告发现,在《通用数据保护条例》(General Data Protection Regulation,GDPR) 5月25日生效前,用户在访问Facebook和谷歌所提供的软件(如Gmail和YouTube)时,会看到一个弹出窗口,其中显示如果用户不选择侵犯隐私的选项,就会失去软件功能或被删除账号。

20180628223325_4515.jpg

目前,国际隐私组织(Privacy International)表示,它将加入NCC,与欧洲和美国的其他消费者和隐私组织一起,要求欧洲数据保护机构调查这些公司是否在按照GDPR行事。

源链接

Hacking more

...