Facebook8700萬用戶信息洩露並被劍橋分析公司濫用的餘波尚未平息,又有Facebook的第三方應用被曝出可能導致1.2億用戶信息洩露。
當地時間6月28日,“白帽子黑客”(用黑客技術做好事的安全技術人員)Inti De Ceukelaire披露,一旦使用NameTests網站旗下的第三方應用,Facebook用戶的姓名、生日、照片和好友名單等個人信息會被洩露,即使刪除應用,已經洩露的數據也無法被清除。據悉,目前漏洞已被修復。
..... 第三方應用存漏洞,或2016年就存在
NameTests.com最流行的幾款測試。
南都記者瞭解到,NameTests是德國應用開發商Social Sweethearts旗下網站,專注於各種社交測試,比如“你最像哪個迪士尼公主?”“另一個性別的你長什麼樣?”。為了完成這些測試,Facebook用戶需要分享基本資料、照片等個人信息。
De Ceukelaire在Youtube上傳的一段解說視頻顯示,在他自己創建的惡意網站上利用NameTests的漏洞,可以獲取任何訪問他Facebook個人主頁的訪客資料。
De Ceukelaire在Youtube上傳的解說視頻。
這意味著,NameTests將獲取的Facebook用戶信息顯示在可訪問的外部網頁上,理論上可以被任何人利用。唯一防止信息洩露的辦法是手動刪除cookies(網站為了辨別用戶身份、進行 session 跟蹤而儲存在用戶本地終端上的數據)。
“在正常情況下,其他網站不應該能夠訪問這些信息”,De Ceukelaire說,如果把t文件改成JSON文件,就可以修復上述問題,“NameTests正在這麼做”。
網絡記錄顯示,漏洞至少在2016年就存在了。De Ceukelaire不認為自己是唯一發現這個漏洞的人,“我只能說這個漏洞非常容易被發現,如果沒人在我之前發現它,我會感到很驚訝”。
目前NameTests有1.2億月活躍用戶,在Facebook上累計獲得2400萬個贊。De Ceukelaire在博客裡寫道,“如果這個漏洞被濫用,廣告商就可以基於你的Facebook發文和好友,定向推動(政治)廣告……甚至還會有網站可能借機勒索,威脅將你不為人知的搜索歷史告訴你的朋友”。
.....
De Ceukelaire稱,他今年4月22日向Facebook提交了這一漏洞,8天以後Facebook回覆正在調查,此後又稱調查可能需要3到6個月。直到6月25日,他注意到漏洞已被修復。
Facebook也在漏洞懸賞官方頁面表示,該漏洞已被修復,Facebook已經撤回了所有登錄過NameTests的用戶的訪問權限,用戶繼續使用將需要再次授權。
Facebook在漏洞懸賞官方頁面發表的聲明。
Social Sweethearts則表示,目前沒有發現用戶個人信息被濫用的情況。
南都記者注意到,這個漏洞是通過“數據濫用懸賞”項目提交。3月,劍橋分析公司前員工爆料稱,有人利用“thisisyourdigitallife”性格測試獲取Facebook用戶數據,並將數據提供給劍橋分析公司用於干擾美國大選,被波及的用戶高達8700萬。該懸賞項目是劍橋分析醜聞後,Facebook在4月剛剛上線的。
據外媒報道,Facebook曾在5月表示,為了清除可能濫用Facebook用戶數據的第三方應用程序,已經進行了2個月的審核行動,調查了“數千個應用程序”,其中“大約200個”被暫封。
事實上,各類情感、性格測試依然在網上層出不窮。娛樂用戶的同時,大多數都要求用戶授權,而後者可能才是它們的真正目的。正如一位美國網友所說:“NameTests、Meaww等第三方測試應用提供免費娛樂並非出於好心,他們真正想要的是你和你朋友、家人的個人信息。”
閱讀更多 焦作市科技館 的文章
