Facebook又被曝出數據泄露事件,牽涉用戶多達1.2億

Facebook又被曝出數據泄露事件,牽涉用戶多達1.2億

來自專欄嘶吼RoarTalk4 人贊了文章

社交網路巨頭Facebook早前因涉嫌泄露超過5000萬用戶的個人信息,一時間引發輿論爭議,創始人馬克.扎克伯格不僅為此公開道歉,而且親赴美國國會接受質詢。然而一波未平一波又起,近日Facebook再曝數據醜聞, 1.2億用戶面臨隱私泄露風險.

北京時間6月29日早間消息,一位名叫Inti De Ceukelaire的安全研究人員發現,Facebook上一款名為NameTests的第三方測驗應用存在安全漏洞,該漏洞使多達1.2億名Facebook用戶的個人信息面臨泄露風險,即使是用戶刪除了這款應用,數據也依然會被泄漏,這種情況已經存在一年多了。

NameTests是德國應用開發商Social Sweethearts推出了頗受歡迎的社交測驗,如「哪個迪士尼公主是你?」。

Inti De Ceukelaire早在4月份,就向Facebook的「數據濫用懸賞」(Data Abuse Bounty)計劃項目報告了這個問題。

Inti De Ceukelaire發現,這種漏洞至少從2016年下半年就存在,泄漏的數據將包括你的Facebook ID、姓名、性別、出生日期、使用的語言、使用的貨幣、個人資料照片、封面照片、使用的設備、最新信息、帖子和狀態、照片和朋友。

Facebook在5月對第三方應用進行了一次審計,其結果是約200個應用遭到封停。在劍橋分析公司濫用數據醜聞曝光後,Facebook也阻止了許多新應用加入該平台。不過在今年5月舉行的年度F8開發者大會上,Facebook又重新開放了應用審查程序。現在看來,Facebook還面臨著更多問題。

數據泄露過程

在上次的數據泄露過程中,就是一款名為「thisisyourdigitallife」的應用收集了5000萬Facebook用戶的數據,並將數據轉移給位於倫敦的政治分析公司Cambridge Analytica。

Cambridge Analytica參與了特朗普團隊的2016年美國大選競選,向特朗普團隊提供了關於選民的詳細信息。這次也一樣,Nametests上的一個漏洞數據顯示,超過1.2億用戶在Facebook上進行個性測驗。

這個漏洞存在於Nametests,它與任何請求它的第三方共享用戶數據。

Inti De Ceukelaire發現,當載入個性測試時,該網站會顯示從nametests.com/appconfig載入的個人信息。

Nametests.com載入的數據被封裝在JavaScript中,這意味著它可以與其他網站共享數據。

Inti De Ceukelaire 分析到:

在正常情況下,其他網站將無法訪問這些信息。網路瀏覽器已經建立了機制來阻止這種情況的發生。但由於NameTests是以JavaScript文件顯示用戶的個人數據,幾乎任何網站都可以在他們請求時訪問這些信息。

為了測試自己想法,Inti De Ceukelaire建立了一個網站,從Nametests.com網站上獲取有關訪客的數據。還有,NameTests提供的訪問令牌也可用於訪問訪問者的帖子、照片和朋友,具體取決於授予的許可權。

Inti De Ceukelaire補充道:

NameTests還會提供一個稱為訪問令牌的密鑰,根據授予的許可權,該密鑰可用於訪問訪問者的帖子、照片和朋友。只需要一次訪問,個性測試網站即可獲得長達兩個月的個人信息。

在專家發布的視頻PoC中,顯示了即使在刪除應用後,NameTests仍然能泄露訪問者的身份。

Facebook對漏洞的解決方式

自今年3月,因劍橋分析事件首次曝光數據醜聞後,Facebook聲稱5月已經對第三方應用進行了一次審計,對約200個應用進行了封停。但現在看來,Facebook的審計還不夠全面。

Inti De Ceukelaire稱,他在4月22日就上報了這個問題,但直到8天以後Facebook才作出回應稱其正在展開調查。到5月14日,他去查看Facebook是否已經聯繫過NameTest的開發者;又過了8天,Facebook才回復稱其可能需要3到6個月來進行調查。

到6月25日,De Ceukelaire注意到NameTest已經修復這個漏洞。在與Facebook取得聯繫後,該公司承認該漏洞已被修復,並同意向「新聞自由基金會」(Freedom of the Press Foundation)捐贈8000美元,以此作為懸賞計劃的一部分獎金。歷時一個月才修復「NameTests」安全漏洞的差勁表現,也再次引發了用戶對Facebook數據安全的擔憂。

不過,作為在Facebook平台上運行的惡意軟體之一,NameTests在3月份開始的安全性審計測驗中被漏掉了,儘管Facebook表示它已經在該調查中暫停了200多個應用,但顯然像NameTests這樣的應用還多得很。目前,我們暫且理解它是一個審計疏忽的結果吧。這也從側面證明,Facebook平台的整體安全性目前差到何種程度,尤其是當用戶在使用社交網路上的第三方應用時。

Social Sweethearts的回應

Social Sweethearts在一份聲明中表示:

經過仔細調查,沒有證據表明,應用程序里的個人數據已被泄露,並且更沒有證據表明它被濫用。儘管如此,我們對數據安全非常重視,目前正在採取措施規避未來的風險。

緩解措施

Inti De Ceukelaire還發現,即使在刪除應用程序後,用戶信息仍可通過網站被獲取。用戶必須手動刪除其設備上的cookie,以防止他們的數據泄露。

據Facebook稱,該漏洞可能「已經影響了Facebook用戶與nametests.com共享的信息」,為將危害降至最低,Facebook已撤銷了Facebook上註冊使用此應用的所有人的訪問令牌。這可能會影響人們與nametests.com共享的Facebook信息,所以人們需要重新授權應用程序才能繼續使用它。

GDPR對Facebook業務模式的影響

挪威消費者委員會(NCC)在4月和5月對Facebook、谷歌和Windows 10進行了分析,發現許多默認設置是「侵犯隱私」的,並且有誤導性的措辭,以使用戶產生「自己在控制的錯覺」,並隱藏有利於保護隱私的選項。該報告發現,在《通用數據保護條例》(General Data Protection Regulation,GDPR) 5月25日生效前,用戶在訪問Facebook和谷歌所提供的軟體(如Gmail和YouTube)時,會看到一個彈出窗口,其中顯示如果用戶不選擇侵犯隱私的選項,就會失去軟體功能或被刪除賬號。

目前,國際隱私組織(Privacy International)表示,它將加入NCC,與歐洲和美國的其他消費者和隱私組織一起,要求歐洲數據保護機構調查這些公司是否在按照GDPR行事。

本文翻譯自:securityaffairs.co/word如若轉載,請註明原文地址: 4hou.com/info/news/1231 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

自適應安全框架(ASA)在網路安全2.0新防禦體系中的應用
靜態數據脫敏產品技術路線分析
卡巴斯基兒童上網情況報告
kali linux 學習之起航篇

TAG:Facebook | 信息安全 |