Une autre application Facebook Quiz a laissé 120 millions de données utilisateur exposées

Les gens sont encore en train de surmonter le scandale des données le plus controversé de l’année, à savoir le scandale Cambridge Analytica , et Facebook est de nouveau sous pression après qu’une application de quiz populaire sur la plate-forme de médias sociaux a révélé les données privées de 120 millions d’utilisateurs pendant des années.

Facebook a fait l’objet de controverses en début d’année sur une application de quiz qui a vendu 87 millions d’utilisateurs à un cabinet de conseil politique qui aurait aidé Donald Trump à remporter la présidence américaine en 2016.

Maintenant, une autre application de quiz, baptisée NameTests, a été trouvée. exposant des données de jusqu’à 120 millions d’utilisateurs de Facebook à tous ceux qui se trouvent à trouver, un hacker éthique révélé.

NameTests [.] Com, le site Web derrière les quiz sociaux populaires, comme "Quelle princesse Disney êtes-vous ?" qui compte environ 120 millions d’utilisateurs mensuels, utilise la plate-forme d’application de Facebook pour offrir un moyen rapide de s’inscrire.

Tout comme n’importe quelle autre application Facebook, l’inscription sur le site Web NameTests en utilisant leur application permet à l’entreprise de récupérer les informations nécessaires sur votre profil à partir de Facebook, avec le consentement naturellement.

Ceukelaire a alors décidé de faire son premier quiz à travers l’application NameTests, et comme il a commencé à regarder de plus près le processus de test, il a remarqué que le site récupérait ses informations personnelles depuis " http: // nametests [.] Com / appconfig_user " et affichez-le sur son site Web.

Ceukelaire a été choqué quand il a vu ses données personnelles dans un fichier JavaScript qui pourrait facilement être consulté par pratiquement n’importe quel site Web quand ils le demandent.

Quel était le défaut ? Comment il a fouillé les données des utilisateurs ?

Ce problème était dû à une faille simple et sévère sur le site NameTests qui semble exister depuis la fin de l’année 2016.

Le stockage des données utilisateur dans le fichier JavaScript a provoqué des fuites de données vers d’autres sites Web, ce qui est impossible autrement. Politique de partage des ressources d’origine (CORS) qui empêche un site Web de lire le contenu d’autres sites Web sans leur autorisation explicite.

Comme preuve de concept, Ceukelaire a développé un site Web malveillant qui se connecterait à NameTests pour extraire les données des visiteurs utilisant l’application.

En utilisant un simple code, il a pu récolter les noms, photos, messages, photos et listes d’amis de tous ceux qui participaient au quiz.

Le pirate vigilant a également fait une vidéo comme une preuve de ses découvertes, montrant comment le site NameTests a révélé vos données personnelles, même après la suppression de l’application.

Ceukelaire a signalé la faille par le biais du programme Facebook Bounty Data Abuse le 22 avril, et plus d’un mois plus tard, les médias sociaux l’ont informé que cela pourrait prendre trois à six mois pour enquêter sur le problème.

Plus de deux mois après avoir initialement signalé le problème à Facebook, Ceukelaire a remarqué que NameTests avait résolu le problème, et lui a dit qu’il n’avait trouvé aucune preuve d’abus des données exposées par un tiers.

Le 27 juin, Facebook a contacté Ceukelaire et l’a informé que NameTests avait réglé le problème et, à sa demande, a fait un don de 8 000 dollars à la Fondation pour la liberté de la presse dans le cadre de son programme Data Abuse Bounty.

La société allemande Social Sweethearts, qui est derrière NameTests, affirme avoir plus de 250 millions d’utilisateurs enregistrés et avoir atteint plus de 3 milliards de pages vues par mois.

Le dernier incident montre que, même après que le géant des médias sociaux ait modifié ses conditions d’accès aux données sur sa plate-forme en 2015, Facebook n’a pas réussi à contrôler de telles applications qui ont accès à des quantités importantes de données personnelles sur sa plate-forme.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image