一個(gè)名為“NameTests”的第三方應(yīng)用程序最近被爆存在重大漏洞

漏洞賞金獵人Inti De Ceukelaire發(fā)博客稱，Nametests.com的第三方智力競(jìng)賽應(yīng)用讓1.2億Facebook用戶的數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)，用戶在Facebook上的姓名、出生日期、婚姻狀態(tài)、好友名單、圖片等等信息都可能被濫用。在刪除應(yīng)用后，仍然會(huì)顯示用戶的身份。

在劍橋分析（Cambridge Analytica）的數(shù)據(jù)濫用丑聞后，F(xiàn)acebook開始進(jìn)行歷史應(yīng)用審查。然而這次審查捅出了更多問題。

一個(gè)名為“NameTests”的第三方應(yīng)用程序最近被爆存在重大漏洞，1.2億用戶的信息都有可能被泄露。

NameTests測(cè)試頁面

只要用戶注冊(cè)Nametests.com網(wǎng)站中的任何一款智力競(jìng)賽應(yīng)用，他們?cè)贔acebook上的個(gè)人數(shù)據(jù)都會(huì)被泄漏。這些數(shù)據(jù)包括姓名、出生日期、婚姻狀態(tài)、好友名單、圖片等等。即便是用戶刪除了這些應(yīng)用，這些數(shù)據(jù)也依然會(huì)被泄漏。

戲劇性的是，在4月底，F(xiàn)acebook加強(qiáng)數(shù)據(jù)管理，通過自己的“數(shù)據(jù)濫用漏洞賞金計(jì)劃”提醒測(cè)試類應(yīng)用（quiz apps）有泄露數(shù)據(jù)的風(fēng)險(xiǎn)，但過了一個(gè)月之后，這些應(yīng)用仍好好地在Facebook平臺(tái)上。

直到漏洞賞金獵人Inti De Ceukelaire發(fā)現(xiàn)NameTests的問題。

在刪除應(yīng)用后，仍然會(huì)顯示用戶的身份

Nametests是一個(gè)智力測(cè)試應(yīng)用，能夠根據(jù)測(cè)試來推斷用戶更像哪個(gè)人物。在加載測(cè)試時(shí)，網(wǎng)站會(huì)提取個(gè)人信息并將其顯示在網(wǎng)頁上。以下是賞金獵人De Ceukelaire的個(gè)人信息來源：

http://nametests.com/appconfig_user

理論上，每個(gè)網(wǎng)站都可能要求提供這些數(shù)據(jù)。請(qǐng)注意，這些數(shù)據(jù)還包括一個(gè)“token”，用于訪問用戶授權(quán)應(yīng)用程序訪問的所有數(shù)據(jù)，例如照片、帖子和朋友。

讓De Ceukelaire震驚的是，這些數(shù)據(jù)已經(jīng)向任何請(qǐng)求它的第三方公開提供。

在正常情況下，其他網(wǎng)站將無法訪問此信息，Web瀏覽器有適當(dāng)?shù)臋C(jī)制來防止這種情況發(fā)生。然而，在這種情況下，數(shù)據(jù)被封裝在一個(gè)叫javascript的東西里，這是此規(guī)則的一個(gè)例外。

javascript的基本原則之一是它可以與其他網(wǎng)站共享。由于NameTests在javascript文件中顯示用戶的個(gè)人數(shù)據(jù)，因此幾乎任何網(wǎng)站都可以在他們請(qǐng)求時(shí)訪問它。

NameTests想知道你是誰，所以訪問nametests.com/appconfig_user，但任何其他網(wǎng)站也可以這樣做。

為了驗(yàn)證它實(shí)際上很容易竊取別人的信息，De Ceukelaire建立了一個(gè)網(wǎng)站，連接到NameTests并獲取關(guān)于它的訪問者的一些信息。NameTests還會(huì)提供一個(gè)稱為訪問token的密鑰，根據(jù)授予的權(quán)限，該密鑰可用于訪問訪問者的帖子、照片和朋友。只需要一次訪問De Ceukelaire的網(wǎng)站就可以訪問一個(gè)人的信息長(zhǎng)達(dá)兩個(gè)月。

即使在刪除應(yīng)用后，NameTests仍然會(huì)顯示用戶的身份。為了防止這種情況發(fā)生，用戶必須手動(dòng)刪除設(shè)備上的Cookie，因?yàn)镹ameTests.com不提供注銷功能。

一般用戶不想讓任何網(wǎng)站知道自己是誰，更不用說竊取用戶的信息或照片。如果濫用此漏洞，廣告客戶可能會(huì)根據(jù)Facebook帖子和朋友定位（政治）廣告。更露骨的網(wǎng)站可能會(huì)利用這個(gè)漏洞敲詐訪問者，威脅要把用戶秘密搜索歷史泄露給他的朋友。

1.2億用戶面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)

據(jù)Facebook稱，NameTests擁有超過1.2億活躍的月度用戶。

為了更好地掌握這些測(cè)驗(yàn)的覆蓋面，De Ceukelaire列出了他們的NameTest本地化Facebook頁面列表，其中有超過一百萬個(gè)喜歡的頁面，這是相當(dāng)可怕的數(shù)字。

4月22日，De Ceukelaire第一次向Facebook報(bào)告了這一情況。4月30日，他收到了Facebook的初步回復(fù)，對(duì)方表示他們正在調(diào)查（looking into）。

De Ceukelaire在5月14日又發(fā)送了一封后續(xù)電子郵件，詢問Facebook是否已經(jīng)聯(lián)系了應(yīng)用程序開發(fā)人員。

直到5月22日，距離De Ceukelaire第一次向Facebook報(bào)告問題后的一個(gè)月，F(xiàn)acebook回復(fù)說可能需要三到六個(gè)月的時(shí)間來調(diào)查這個(gè)問題（即他們最初的自動(dòng)回復(fù)中提到的同一時(shí)間段）。而NameTests的測(cè)驗(yàn)仍在進(jìn)行中。

一個(gè)月后的6月25日，De Ceukelaire說，他注意到NameTests已經(jīng)改變了它們處理數(shù)據(jù)的方式，從而關(guān)閉了它們暴露給第三方的訪問權(quán)限。第二天（6月26日），De Ceukelaire與NameTest的數(shù)字保護(hù)官員聯(lián)系，回答了有關(guān)Facebook漏洞和披露過程的一些問題。

第三天（6月27日），F(xiàn)acebook也證實(shí)了這一書面漏洞，并承認(rèn)：“這可能會(huì)讓攻擊者確定Facebook平臺(tái)登錄用戶的詳細(xì)信息?！?/p>

Facebook還告訴他，它們已經(jīng)和NameTests確認(rèn)了，這個(gè)問題已經(jīng)解決。它的應(yīng)用程序仍然可以在Facebook的平臺(tái)上使用——這表明Facebook沒有發(fā)現(xiàn)導(dǎo)致它暫停其他第三方應(yīng)用程序的可疑活動(dòng)。(至少，假設(shè)它進(jìn)行了調(diào)查。)

最后，根據(jù)數(shù)據(jù)濫用漏洞賞金計(jì)劃(Data Abuse Bounty Program)的條款，F(xiàn)acebook向一家慈善機(jī)構(gòu)支付了4000x2美元的賞金——這也是De Ceukelaire的要求。

審查應(yīng)用程序是Facebook的品牌公關(guān)行為？沒有執(zhí)行力的規(guī)則不值得寫在紙上

今年，F(xiàn)acebook在“劍橋分析門”之后對(duì)歷史應(yīng)用進(jìn)行審查，扎克伯格說，公司將“調(diào)查所有在2014年我們改變平臺(tái)以大幅減少數(shù)據(jù)訪問之前能夠獲得大量信息的程序，我們將全面地審查所有應(yīng)用和可疑的活動(dòng)。”后來Facebook又啟動(dòng)了數(shù)據(jù)濫用漏洞賞金計(jì)劃(Data Abuse Bounty Program)。

在審查期間，F(xiàn)acebook已經(jīng)暫停了約200個(gè)應(yīng)用程序。直到現(xiàn)在審查仍在進(jìn)行中，目前也沒有關(guān)于何時(shí)結(jié)束審查過程（以及相關(guān)的調(diào)查）的正式時(shí)間表。

在4月底，通過自己的“數(shù)據(jù)濫用漏洞賞金計(jì)劃”，F(xiàn)acebook已經(jīng)被提醒測(cè)試類應(yīng)用（quiz apps）有泄露數(shù)據(jù)的風(fēng)險(xiǎn)，但過了一個(gè)月之后，這些應(yīng)用仍好好地在Facebook平臺(tái)上。又過了一個(gè)月，這些漏洞才被修復(fù)。

TechCrunch認(rèn)為，你不得不懷疑Facebook的審查是否有用，還是僅是Facebook的一種品牌公關(guān)行為。

潛在的問題是，F(xiàn)acebook是否對(duì)其平臺(tái)上運(yùn)行的應(yīng)用程序真的進(jìn)行檢查。如果沒有任何積極的過程來實(shí)施條款與細(xì)則（T&C），那么擁有條款與細(xì)則就沒什么用。沒有執(zhí)行力的規(guī)則不值得寫在紙上。

歷史證據(jù)表明，F(xiàn)acebook并沒有積極執(zhí)行其開發(fā)人員條款與細(xì)則——盡管它現(xiàn)在聲稱正在“鎖定平臺(tái)”，但隱私丑聞太多。

劍橋分析丑聞中的測(cè)驗(yàn)應(yīng)用程序開發(fā)人員Aleksandr Kogan曾收集并銷售/倒手Facebook的用戶數(shù)據(jù)給第三方，他指責(zé)Facebook基本上沒有相關(guān)政策。Aleksandr Kogan認(rèn)為，F(xiàn)acebook要對(duì)其平臺(tái)上發(fā)生的大規(guī)模數(shù)據(jù)濫用負(fù)責(zé)——而到目前為止，也只有一部分被曝光。