Η ιστορία έχει την τάση να επαναλαμβάνεται. Μήνες μετά την Cambridge Analytica, 120 εκατομμύρια χρήστες του Facebook θα μπορούσαν να έχουν πρόσβαση στα δεδομένα τους από κακόβουλους ιστότοπους, αφού μια εταιρεία κουίζ έβαλε δεδομένα όπως το όνομα, το φύλο και ακόμη και φωτογραφίες μέσα σε εύκολα προσβάσιμη Javascript. Καθώς το Facebook συνεχίζει να ελέγχει εκατοντάδες εφαρμογές τρίτων, ο χάκερ Inti De Ceukelaire μοιράστηκε πώς μια ευπάθεια ασφαλείας στην πλατφόρμα κουίζ nametests.com θα μπορούσε να έχει εκτεθεί δεδομένα 120 εκατομμυρίων χρηστών.
Περίεργος μετά το σκάνδαλο της Cambridge Analytica, ο Ceukelaire αποφάσισε να κάνει το πρώτο του κουίζ στο Facebook για να χρησιμοποιήσει τις δεξιότητές του για χάκερ για να δει ακριβώς πώς χρησιμοποίησε τα δεδομένα του η πλατφόρμα τρίτων. Χρησιμοποίησε μια πλατφόρμα που χρησιμοποιείται περισσότερο από τους φίλους του στο Facebook, nametests.com, και έκανε ένα κουίζ: «Ποια Disney Princess Είσαι;»
Χρησιμοποιώντας το φόντο του hacking, ο Ceukelaire ακολούθησε τα δεδομένα και βρήκε τις πληροφορίες του μέσα σε εύκολα προσβάσιμη Javascript. Η μορφή του Javascript έχει σχεδιαστεί για κοινή χρήση, πράγμα που σημαίνει ότι οποιοσδήποτε ιστότοπος που επισκέπτεστε μετά από αυτήν τη δοκιμή θα μπορούσε να έχει πρόσβαση σε αυτά τα δεδομένα. Τα δεδομένα περιλαμβάνουν πράγματα όπως όνομα χρήστη, φύλο, λίστες φίλων. και κοινόχρηστες αναρτήσεις.
Η φύση του Javascript σημαίνει ότι κάποιος που πήρε τη δοκιμή θα έπρεπε να επισκεφτεί έναν κακόβουλο ιστότοπο για να προκύψει διαρροή δεδομένων, επομένως το ελάττωμα δεν σημαίνει ότι τα δεδομένα και για τα 120 εκατομμύρια χρήστες της πλατφόρμας έχουν παραβιαστεί. Ωστόσο, η εύκολη προσβασιμότητα αυτών των δεδομένων αφορά, λέει ο Ceukelaire. Ως παράδειγμα ακριβώς τι θα μπορούσε να συμβεί με αυτόν τον τύπο ελαττώματος ασφαλείας, ένας πορνογραφικός ιστότοπος θα μπορούσε να αποκτήσει πρόσβαση σε μια λίστα φίλων και να χρησιμοποιήσει αυτήν τη λίστα φίλων για να εκβιάσει τους χρήστες με την απειλή έκθεσης, πρότεινε η Ceukelaire.
Μόλις επισκεφθείτε αυτήν την κακόβουλη ιστοσελίδα, τα δεδομένα θα ήταν προσβάσιμα για έως και δύο μήνες. Η διαγραφή του nametests.com επίσης δεν επιλύει το πρόβλημα - οι χρήστες πρέπει επίσης να διαγράψουν τα cookie στη συσκευή για να σταματήσουν την πρόσβαση στα δεδομένα.
Ως μέρος του προγράμματος Facebook Abuse Bounty, η ευπάθεια έχει πλέον διορθωθεί. Ο Ceukelaire δωρίζει την ανταμοιβή στη φιλανθρωπική οργάνωση. Η Nametests λέει ότι δεν βρήκε τίποτα που να υποδηλώνει την κατάχρηση των δεδομένων και λέει ότι έθεσε πρόσθετες δοκιμές για να αποφευχθούν παρόμοιες διαρροές δεδομένων στο μέλλον. Το Facebook επίσης ανακάλεσε την πρόσβαση σε Nametests, πράγμα που σημαίνει ότι οι χρήστες θα πρέπει να εκχωρήσουν ξανά στην εφαρμογή άδεια για να συνεχίσουν να χρησιμοποιούν τα κουίζ.
Αλλά ίσως αυτό που είναι ακόμη πιο ανησυχητικό είναι ότι μετά την Cambridge Analatica και αφού οι ερευνητές των δεδομένων πρότειναν ότι υπάρχουν τα περισσότερα κουίζ στο Facebook για την παρακολούθηση των δεδομένων σας και μετά την έκθεση μιας άλλης εφαρμογής κουίζ, οι διαδικτυακές πλατφόρμες κουίζ εξακολουθούν να λένε ότι έχουν 120 εκατομμύρια μηνιαίους χρήστες. Ανακαλύπτετε ποια πριγκίπισσα της Disney αξίζει να επιτρέψετε σε άλλη εταιρεία να έχει πρόσβαση στα δεδομένα σας στο Facebook;
Έχετε ήδη λάβει το κουίζ; Μάθετε πώς μπορείτε να προσαρμόσετε τις ρυθμίσεις ασφαλείας εδώ.
