Facebook отново под прожекторите заради скандал с лични данни
След като преди няколко месеца стана ясно, че куиз-приложение е продало персонални данни на милиони консуматори на компания за политически маркетинг, Фейсбук по всякакъв начин се старае да потвърди, че е добра и надеждна обществена платформа. Сега обаче, тези старания могат да се окажат напразни, защото откриватели по сигурността са разкрили, че друго сходно приложение, наречено NameTests, оставя данните на 120 милиона консуматори на Фейсбук да са налични за всеки, който ги пожелае.
Първият за годината скандал, обвързван с Фейсбук и персоналните данни на потребителите, се развихри през март, когато стана ясно, че компанията за разбор на данни Cambridge Analytica, наета за президентската акция на Доналд Тръмп, е закупила нелегално потребителска информация, оповестена във Фейсбук, от приложение, наречено thisisyourdigitallife. В следствие стана ясно, че, макар че са знаели за това крещящо нарушаване на политиките за сигурност на обществената мрежа, от Фейсбук не са създали нищо в продължение на години. И до момента в който основният изпълнителен шеф Марк Зукърбърг обикаляше от чуване на излусшване в опитите си да замаже абсурда, вложителите започнаха да стават нервни, което принуди Фейсбук да направи известни промени - някои огромни, други - нетолкова.
Прочетете още: Фейсбук прекратява план си Aquila
Одитът на приложенията на трети страни да вземем за пример докара до прекъсването на към 200 от тях през май. Малко повече от месец по-късно обаче, се оказва, че компанията може да се изправи пред нова вълна проблеми, като тези, изнесени от етичния хакер Inti De Ceukelaire по отношение на недостатък в сигурността на NameTests.
В сряда, De Ceukelaire е докладвал процеса, по който е разкрил минуса в уеб страницата, изравен зад приложението, в новосъздадената от Фейсбук стратегия Data Abuse Bounty (платформа, в която разнообразни етични хакери могат да търсят пропуски в сигурността). Самият етичен хакер в никакъв случай не бил употребявал NameTests досега, само че решил да изучи приложенията, които употребяват неговите другари във Фейсбук, като стартира точно от него. Проследявайки по какъв начин се обработват данните му, De Ceukelaire вижда, че уебсайтът на NameTest извлича неговата информация от URL адрес " http://nametests.com/appconfig_user " и съхранява персоналните му данни в JavaScript файл, от който елементарно могат да бъдат “поискани” от всеки уеб страница, който знае за това.
Етичният хакер дава образец по какъв начин това може да навреди на потребителите с предполагаем злоумишлен нецензурен уебсайт, който е наясно с уязвимостта. Ако консуматор на Фейсбук посети въпросния уебсайт, той може да изпрати питане към NameTest и окаже ли се, че потребителят има профил там, умерено може да изтегли редица негови данни. Нещо повече, NameTest ще даде на злонамерения уебсайт опция да продължи да получава достъп до информация за изявленията, фотосите и приятелите на потребителя за интервал до два месеца. “В взаимозависимост от тестванията, които сте създали, javascript може да съобщи ваши входни данни за Фейсбук, личното ви име, фамилия, език, пол, дата на раждане, фотоси, употребявани устройства, последни актуализации, изявления, положения и т.н.”, изяснява хакерът.
Първият за годината скандал, обвързван с Фейсбук и персоналните данни на потребителите, се развихри през март, когато стана ясно, че компанията за разбор на данни Cambridge Analytica, наета за президентската акция на Доналд Тръмп, е закупила нелегално потребителска информация, оповестена във Фейсбук, от приложение, наречено thisisyourdigitallife. В следствие стана ясно, че, макар че са знаели за това крещящо нарушаване на политиките за сигурност на обществената мрежа, от Фейсбук не са създали нищо в продължение на години. И до момента в който основният изпълнителен шеф Марк Зукърбърг обикаляше от чуване на излусшване в опитите си да замаже абсурда, вложителите започнаха да стават нервни, което принуди Фейсбук да направи известни промени - някои огромни, други - нетолкова.
Прочетете още: Фейсбук прекратява план си Aquila
Одитът на приложенията на трети страни да вземем за пример докара до прекъсването на към 200 от тях през май. Малко повече от месец по-късно обаче, се оказва, че компанията може да се изправи пред нова вълна проблеми, като тези, изнесени от етичния хакер Inti De Ceukelaire по отношение на недостатък в сигурността на NameTests.
В сряда, De Ceukelaire е докладвал процеса, по който е разкрил минуса в уеб страницата, изравен зад приложението, в новосъздадената от Фейсбук стратегия Data Abuse Bounty (платформа, в която разнообразни етични хакери могат да търсят пропуски в сигурността). Самият етичен хакер в никакъв случай не бил употребявал NameTests досега, само че решил да изучи приложенията, които употребяват неговите другари във Фейсбук, като стартира точно от него. Проследявайки по какъв начин се обработват данните му, De Ceukelaire вижда, че уебсайтът на NameTest извлича неговата информация от URL адрес " http://nametests.com/appconfig_user " и съхранява персоналните му данни в JavaScript файл, от който елементарно могат да бъдат “поискани” от всеки уеб страница, който знае за това.
Етичният хакер дава образец по какъв начин това може да навреди на потребителите с предполагаем злоумишлен нецензурен уебсайт, който е наясно с уязвимостта. Ако консуматор на Фейсбук посети въпросния уебсайт, той може да изпрати питане към NameTest и окаже ли се, че потребителят има профил там, умерено може да изтегли редица негови данни. Нещо повече, NameTest ще даде на злонамерения уебсайт опция да продължи да получава достъп до информация за изявленията, фотосите и приятелите на потребителя за интервал до два месеца. “В взаимозависимост от тестванията, които сте създали, javascript може да съобщи ваши входни данни за Фейсбук, личното ви име, фамилия, език, пол, дата на раждане, фотоси, употребявани устройства, последни актуализации, изявления, положения и т.н.”, изяснява хакерът.
Източник: pcworld.bg
КОМЕНТАРИ