漏洞賞金獵人Inti De Ceukelaire發(fā)博客稱,Nametests.com的第三方智力競(jìng)賽應(yīng)用讓1.2億Facebook用戶的數(shù)據(jù)面臨泄露風(fēng)險(xiǎn),用戶在Facebook上的姓名、出生日期、婚姻狀態(tài)、好友名單、圖片等等信息都可能被濫用。在刪除應(yīng)用后,仍然會(huì)顯示用戶的身份。
在劍橋分析(Cambridge Analytica)的數(shù)據(jù)濫用丑聞后,F(xiàn)acebook開始進(jìn)行歷史應(yīng)用審查。然而這次審查捅出了更多問題。
一個(gè)名為“NameTests”的第三方應(yīng)用程序最近被爆存在重大漏洞,1.2億用戶的信息都有可能被泄露。
NameTests測(cè)試頁面
只要用戶注冊(cè)Nametests.com網(wǎng)站中的任何一款智力競(jìng)賽應(yīng)用,他們?cè)贔acebook上的個(gè)人數(shù)據(jù)都會(huì)被泄漏。這些數(shù)據(jù)包括姓名、出生日期、婚姻狀態(tài)、好友名單、圖片等等。即便是用戶刪除了這些應(yīng)用,這些數(shù)據(jù)也依然會(huì)被泄漏。
戲劇性的是,在4月底,F(xiàn)acebook加強(qiáng)數(shù)據(jù)管理,通過自己的“數(shù)據(jù)濫用漏洞賞金計(jì)劃”提醒測(cè)試類應(yīng)用(quiz apps)有泄露數(shù)據(jù)的風(fēng)險(xiǎn),但過了一個(gè)月之后,這些應(yīng)用仍好好地在Facebook平臺(tái)上。
直到漏洞賞金獵人Inti De Ceukelaire發(fā)現(xiàn)NameTests的問題。
在刪除應(yīng)用后,仍然會(huì)顯示用戶的身份
Nametests是一個(gè)智力測(cè)試應(yīng)用,能夠根據(jù)測(cè)試來推斷用戶更像哪個(gè)人物。在加載測(cè)試時(shí),網(wǎng)站會(huì)提取個(gè)人信息并將其顯示在網(wǎng)頁上。以下是賞金獵人De Ceukelaire的個(gè)人信息來源:
http://nametests.com/appconfig_user
理論上,每個(gè)網(wǎng)站都可能要求提供這些數(shù)據(jù)。請(qǐng)注意,這些數(shù)據(jù)還包括一個(gè)“token”,用于訪問用戶授權(quán)應(yīng)用程序訪問的所有數(shù)據(jù),例如照片、帖子和朋友。
讓De Ceukelaire震驚的是,這些數(shù)據(jù)已經(jīng)向任何請(qǐng)求它的第三方公開提供。
在正常情況下,其他網(wǎng)站將無法訪問此信息,Web瀏覽器有適當(dāng)?shù)臋C(jī)制來防止這種情況發(fā)生。然而,在這種情況下,數(shù)據(jù)被封裝在一個(gè)叫javascript的東西里,這是此規(guī)則的一個(gè)例外。
javascript的基本原則之一是它可以與其他網(wǎng)站共享。由于NameTests在javascript文件中顯示用戶的個(gè)人數(shù)據(jù),因此幾乎任何網(wǎng)站都可以在他們請(qǐng)求時(shí)訪問它。
NameTests想知道你是誰,所以訪問nametests.com/appconfig_user,但任何其他網(wǎng)站也可以這樣做。
為了驗(yàn)證它實(shí)際上很容易竊取別人的信息,De Ceukelaire建立了一個(gè)網(wǎng)站,連接到NameTests并獲取關(guān)于它的訪問者的一些信息。NameTests還會(huì)提供一個(gè)稱為訪問token的密鑰,根據(jù)授予的權(quán)限,該密鑰可用于訪問訪問者的帖子、照片和朋友。只需要一次訪問De Ceukelaire的網(wǎng)站就可以訪問一個(gè)人的信息長(zhǎng)達(dá)兩個(gè)月。
即使在刪除應(yīng)用后,NameTests仍然會(huì)顯示用戶的身份。為了防止這種情況發(fā)生,用戶必須手動(dòng)刪除設(shè)備上的Cookie,因?yàn)镹ameTests.com不提供注銷功能。
一般用戶不想讓任何網(wǎng)站知道自己是誰,更不用說竊取用戶的信息或照片。如果濫用此漏洞,廣告客戶可能會(huì)根據(jù)Facebook帖子和朋友定位(政治)廣告。更露骨的網(wǎng)站可能會(huì)利用這個(gè)漏洞敲詐訪問者,威脅要把用戶秘密搜索歷史泄露給他的朋友。
1.2億用戶面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)
據(jù)Facebook稱,NameTests擁有超過1.2億活躍的月度用戶。
為了更好地掌握這些測(cè)驗(yàn)的覆蓋面,De Ceukelaire列出了他們的NameTest本地化Facebook頁面列表,其中有超過一百萬個(gè)喜歡的頁面,這是相當(dāng)可怕的數(shù)字。
4月22日,De Ceukelaire第一次向Facebook報(bào)告了這一情況。4月30日,他收到了Facebook的初步回復(fù),對(duì)方表示他們正在調(diào)查(looking into)。
De Ceukelaire在5月14日又發(fā)送了一封后續(xù)電子郵件,詢問Facebook是否已經(jīng)聯(lián)系了應(yīng)用程序開發(fā)人員。
直到5月22日,距離De Ceukelaire第一次向Facebook報(bào)告問題后的一個(gè)月,F(xiàn)acebook回復(fù)說可能需要三到六個(gè)月的時(shí)間來調(diào)查這個(gè)問題(即他們最初的自動(dòng)回復(fù)中提到的同一時(shí)間段)。而NameTests的測(cè)驗(yàn)仍在進(jìn)行中。
一個(gè)月后的6月25日,De Ceukelaire說,他注意到NameTests已經(jīng)改變了它們處理數(shù)據(jù)的方式,從而關(guān)閉了它們暴露給第三方的訪問權(quán)限。第二天(6月26日),De Ceukelaire與NameTest的數(shù)字保護(hù)官員聯(lián)系,回答了有關(guān)Facebook漏洞和披露過程的一些問題。
第三天(6月27日),F(xiàn)acebook也證實(shí)了這一書面漏洞,并承認(rèn):“這可能會(huì)讓攻擊者確定Facebook平臺(tái)登錄用戶的詳細(xì)信息?!?/p>
Facebook還告訴他,它們已經(jīng)和NameTests確認(rèn)了,這個(gè)問題已經(jīng)解決。它的應(yīng)用程序仍然可以在Facebook的平臺(tái)上使用——這表明Facebook沒有發(fā)現(xiàn)導(dǎo)致它暫停其他第三方應(yīng)用程序的可疑活動(dòng)。(至少,假設(shè)它進(jìn)行了調(diào)查。)
最后,根據(jù)數(shù)據(jù)濫用漏洞賞金計(jì)劃(Data Abuse Bounty Program)的條款,F(xiàn)acebook向一家慈善機(jī)構(gòu)支付了4000x2美元的賞金——這也是De Ceukelaire的要求。
審查應(yīng)用程序是Facebook的品牌公關(guān)行為?沒有執(zhí)行力的規(guī)則不值得寫在紙上
今年,F(xiàn)acebook在“劍橋分析門”之后對(duì)歷史應(yīng)用進(jìn)行審查,扎克伯格說,公司將“調(diào)查所有在2014年我們改變平臺(tái)以大幅減少數(shù)據(jù)訪問之前能夠獲得大量信息的程序,我們將全面地審查所有應(yīng)用和可疑的活動(dòng)。”后來Facebook又啟動(dòng)了數(shù)據(jù)濫用漏洞賞金計(jì)劃(Data Abuse Bounty Program)。
在審查期間,F(xiàn)acebook已經(jīng)暫停了約200個(gè)應(yīng)用程序。直到現(xiàn)在審查仍在進(jìn)行中,目前也沒有關(guān)于何時(shí)結(jié)束審查過程(以及相關(guān)的調(diào)查)的正式時(shí)間表。
在4月底,通過自己的“數(shù)據(jù)濫用漏洞賞金計(jì)劃”,F(xiàn)acebook已經(jīng)被提醒測(cè)試類應(yīng)用(quiz apps)有泄露數(shù)據(jù)的風(fēng)險(xiǎn),但過了一個(gè)月之后,這些應(yīng)用仍好好地在Facebook平臺(tái)上。又過了一個(gè)月,這些漏洞才被修復(fù)。
TechCrunch認(rèn)為,你不得不懷疑Facebook的審查是否有用,還是僅是Facebook的一種品牌公關(guān)行為。
潛在的問題是,F(xiàn)acebook是否對(duì)其平臺(tái)上運(yùn)行的應(yīng)用程序真的進(jìn)行檢查。如果沒有任何積極的過程來實(shí)施條款與細(xì)則(T&C),那么擁有條款與細(xì)則就沒什么用。沒有執(zhí)行力的規(guī)則不值得寫在紙上。
歷史證據(jù)表明,F(xiàn)acebook并沒有積極執(zhí)行其開發(fā)人員條款與細(xì)則——盡管它現(xiàn)在聲稱正在“鎖定平臺(tái)”,但隱私丑聞太多。
劍橋分析丑聞中的測(cè)驗(yàn)應(yīng)用程序開發(fā)人員Aleksandr Kogan曾收集并銷售/倒手Facebook的用戶數(shù)據(jù)給第三方,他指責(zé)Facebook基本上沒有相關(guān)政策。Aleksandr Kogan認(rèn)為,F(xiàn)acebook要對(duì)其平臺(tái)上發(fā)生的大規(guī)模數(shù)據(jù)濫用負(fù)責(zé)——而到目前為止,也只有一部分被曝光。
-
數(shù)據(jù)
+關(guān)注
關(guān)注
8文章
6715瀏覽量
88319 -
Facebook
+關(guān)注
關(guān)注
3文章
1429瀏覽量
54479
原文標(biāo)題:Facebook再曝?cái)?shù)據(jù)漏洞!1.2億用戶數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)
文章出處:【微信號(hào):AI_era,微信公眾號(hào):新智元】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論