Facebook又被曝出數據泄露事件，牽涉用戶多達1.2億

Facebook又被曝出數據泄露事件，牽涉用戶多達1.2億

來自專欄嘶吼RoarTalk4 人贊了文章

社交網路巨頭Facebook早前因涉嫌泄露超過5000萬用戶的個人信息,一時間引發輿論爭議，創始人馬克.扎克伯格不僅為此公開道歉，而且親赴美國國會接受質詢。然而一波未平一波又起，近日Facebook再曝數據醜聞, 1.2億用戶面臨隱私泄露風險.

北京時間6月29日早間消息，一位名叫Inti De Ceukelaire的安全研究人員發現，Facebook上一款名為NameTests的第三方測驗應用存在安全漏洞，該漏洞使多達1.2億名Facebook用戶的個人信息面臨泄露風險，即使是用戶刪除了這款應用，數據也依然會被泄漏，這種情況已經存在一年多了。

NameTests是德國應用開發商Social Sweethearts推出了頗受歡迎的社交測驗，如「哪個迪士尼公主是你？」。

Inti De Ceukelaire早在4月份，就向Facebook的「數據濫用懸賞」（Data Abuse Bounty）計劃項目報告了這個問題。

Inti De Ceukelaire發現，這種漏洞至少從2016年下半年就存在，泄漏的數據將包括你的Facebook ID、姓名、性別、出生日期、使用的語言、使用的貨幣、個人資料照片、封面照片、使用的設備、最新信息、帖子和狀態、照片和朋友。

Facebook在5月對第三方應用進行了一次審計，其結果是約200個應用遭到封停。在劍橋分析公司濫用數據醜聞曝光後，Facebook也阻止了許多新應用加入該平台。不過在今年5月舉行的年度F8開發者大會上，Facebook又重新開放了應用審查程序。現在看來，Facebook還面臨著更多問題。

數據泄露過程

在上次的數據泄露過程中，就是一款名為「thisisyourdigitallife」的應用收集了5000萬Facebook用戶的數據，並將數據轉移給位於倫敦的政治分析公司Cambridge Analytica。

Cambridge Analytica參與了特朗普團隊的2016年美國大選競選，向特朗普團隊提供了關於選民的詳細信息。這次也一樣，Nametests上的一個漏洞數據顯示，超過1.2億用戶在Facebook上進行個性測驗。

這個漏洞存在於Nametests，它與任何請求它的第三方共享用戶數據。

Inti De Ceukelaire發現，當載入個性測試時，該網站會顯示從http://nametests.com/appconfig_user載入的個人信息。

從http://Nametests.com載入的數據被封裝在JavaScript中，這意味著它可以與其他網站共享數據。

Inti De Ceukelaire 分析到：

在正常情況下，其他網站將無法訪問這些信息。網路瀏覽器已經建立了機制來阻止這種情況的發生。但由於NameTests是以JavaScript文件顯示用戶的個人數據，幾乎任何網站都可以在他們請求時訪問這些信息。

為了測試自己想法，Inti De Ceukelaire建立了一個網站，從http://Nametests.com網站上獲取有關訪客的數據。還有，NameTests提供的訪問令牌也可用於訪問訪問者的帖子、照片和朋友，具體取決於授予的許可權。

Inti De Ceukelaire補充道：

NameTests還會提供一個稱為訪問令牌的密鑰，根據授予的許可權，該密鑰可用於訪問訪問者的帖子、照片和朋友。只需要一次訪問，個性測試網站即可獲得長達兩個月的個人信息。

在專家發布的視頻PoC中，顯示了即使在刪除應用後，NameTests仍然能泄露訪問者的身份。

Facebook對漏洞的解決方式

自今年3月，因劍橋分析事件首次曝光數據醜聞後，Facebook聲稱5月已經對第三方應用進行了一次審計，對約200個應用進行了封停。但現在看來，Facebook的審計還不夠全面。

Inti De Ceukelaire稱，他在4月22日就上報了這個問題，但直到8天以後Facebook才作出回應稱其正在展開調查。到5月14日，他去查看Facebook是否已經聯繫過NameTest的開發者；又過了8天，Facebook才回復稱其可能需要3到6個月來進行調查。

到6月25日，De Ceukelaire注意到NameTest已經修復這個漏洞。在與Facebook取得聯繫後，該公司承認該漏洞已被修復，並同意向「新聞自由基金會」（Freedom of the Press Foundation）捐贈8000美元，以此作為懸賞計劃的一部分獎金。歷時一個月才修復「NameTests」安全漏洞的差勁表現，也再次引發了用戶對Facebook數據安全的擔憂。

不過，作為在Facebook平台上運行的惡意軟體之一，NameTests在3月份開始的安全性審計測驗中被漏掉了，儘管Facebook表示它已經在該調查中暫停了200多個應用，但顯然像NameTests這樣的應用還多得很。目前，我們暫且理解它是一個審計疏忽的結果吧。這也從側面證明，Facebook平台的整體安全性目前差到何種程度，尤其是當用戶在使用社交網路上的第三方應用時。

Social Sweethearts的回應

Social Sweethearts在一份聲明中表示：

經過仔細調查，沒有證據表明，應用程序里的個人數據已被泄露，並且更沒有證據表明它被濫用。儘管如此，我們對數據安全非常重視，目前正在採取措施規避未來的風險。

緩解措施

Inti De Ceukelaire還發現，即使在刪除應用程序後，用戶信息仍可通過網站被獲取。用戶必須手動刪除其設備上的cookie，以防止他們的數據泄露。

據Facebook稱，該漏洞可能「已經影響了Facebook用戶與http://nametests.com共享的信息」，為將危害降至最低，Facebook已撤銷了Facebook上註冊使用此應用的所有人的訪問令牌。這可能會影響人們與http://nametests.com共享的Facebook信息，所以人們需要重新授權應用程序才能繼續使用它。

GDPR對Facebook業務模式的影響

挪威消費者委員會(NCC)在4月和5月對Facebook、谷歌和Windows 10進行了分析，發現許多默認設置是「侵犯隱私」的，並且有誤導性的措辭，以使用戶產生「自己在控制的錯覺」，並隱藏有利於保護隱私的選項。該報告發現，在《通用數據保護條例》(General Data Protection Regulation，GDPR) 5月25日生效前，用戶在訪問Facebook和谷歌所提供的軟體(如Gmail和YouTube)時，會看到一個彈出窗口，其中顯示如果用戶不選擇侵犯隱私的選項，就會失去軟體功能或被刪除賬號。

目前，國際隱私組織(Privacy International)表示，它將加入NCC，與歐洲和美國的其他消費者和隱私組織一起，要求歐洲數據保護機構調查這些公司是否在按照GDPR行事。

本文翻譯自：https://securityaffairs.co/wordpress/74009/hacking/nametests-data-leak.html如若轉載，請註明原文地址： http://www.4hou.com/info/news/12314.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：