少做測驗！Facebook 上現第三方測驗應用暴露 1.2 億用戶數據案例

專家發現了一個名為 NameTests 的第三方測驗應用程序，該應用程序發現了多達 1.2 億 Facebook 用戶的數據。

Nametests.com 上的一個錯誤暴露了超過 1.2 億用戶在 Facebook 上進行個性化測驗的數據，好消息是這個漏洞是 4 月份推出的 Facebook 數據濫用賞金計劃的一部分。

該問題存在於 Nametests.com 中，該用戶與任何請求它的第三方共享用戶數據。

研究人員 Inti De Ceukelaire 報告了這一缺陷，他解釋說，在載入性格測試時，該網站會顯示從 該網站用戶頁面 載入的個人信息。

從 Nametests.com 載入的數據包含在 JavaScript 中，這意味著它可以與其他網站共享。

「在正常情況下，其他網站將無法訪問此信息。Web 瀏覽器具有防止這種情況發生的機制。「研究人員在博客文章中寫道。

「由於 NameTests 在 JavaScript 文件中顯示用戶的個人數據，因此幾乎任何網站都可以在請求時訪問它，」

專家們建立了一個網站，從 Nametests.com 網站上獲取有關訪客的數據。 反過來，ametests.com 提供了訪問令牌，該令牌也可用於訪問訪問者的帖子，照片和朋友，具體取決於授予的許可權。

「NameTests 還會提供一個稱為訪問令牌的密鑰，根據授予的許可權，它可用於訪問訪問者的帖子，照片和朋友。 只需訪問我們的網站就可以訪問某人的個人信息長達兩個月。「De Ceukelaire 補充道。

在專家發布的視頻 PoC 下方，顯示了即使在刪除應用程序後 NameTests 如何顯示訪問者的身份。

為了防止這種行為，用戶必須手動刪除其設備上的 cookie。

專家還發現，即使刪除了應用程序，用戶信息仍將通過網站繼續提供。 用戶必須手動刪除其設備上的 cookie，以防止他們的數據泄露。

該問題已於 4 月 22 日向 Facebook 的數據濫用計劃報告，該公司和修復程序於 6 月 25 日推出。

根據 Facebook 的說法，這個漏洞可能 「影響了人們與 nametests.com 分享的 Facebook 信息」，為了應對這一事件，該技術巨頭撤銷了 Facebook 上已簽約使用此應用程序的所有人的訪問令牌

「這是由 Inti De Ceukelaire 報道的，我們與該應用程序的開發人員 - Social Sweethearts 合作，以解決他發現的可能影響人們與 nametests.com 共享的 Facebook 信息的網站漏洞 。」 Facebook 發布的 一篇文章說。

「為了安全起見，我們撤銷了已經註冊使用此應用程序的 Facebook 上所有人的訪問令牌。 因此人們需要重新授權該應用才能繼續使用它。「

Facebook 授予該專家 8,000 美元而不是 4,000 美元的獎金，因為他選擇將其捐贈給慈善機構。

「我也得到了 NameTests 的回復。 公共關係團隊聲稱，根據他們的數據和知識，他們沒有發現任何第三方濫用的證據。 他們還說，他們已經實施了額外的測試來發現這些錯誤並在將來避免這些錯誤，「研究人員總結道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！