看世界:脸书数据泄露卷土重来?1.2亿用户或受影响

隐私护卫队 隐私护卫队

Facebook

Facebook8700万用户信息泄露并被剑桥分析公司滥用的余波尚未平息,又有Facebook的第三方应用被曝出可能导致1.2亿用户信息泄露。

当地时间6月28日,“白帽子黑客”(用黑客技术做好事的安全技术人员)Inti De Ceukelaire披露,一旦使用NameTests网站旗下的第三方应用,Facebook用户的姓名、生日、照片和好友名单等个人信息会被泄露,即使删除应用,已经泄露的数据也无法被清除。据悉,目前漏洞已被修复。

第三方应用存漏洞,或2016年就存在

NameTests.com最流行的几款测试。

南都记者了解到,NameTests是德国应用开发商Social Sweethearts旗下网站,专注于各种社交测试,比如“你最像哪个迪士尼公主?”“另一个性别的你长什么样?”。为了完成这些测试,Facebook用户需要分享基本资料、照片等个人信息。

De Ceukelaire在Youtube上传的一段解说视频显示,在他自己创建的恶意网站上利用NameTests的漏洞,可以获取任何访问他Facebook个人主页的访客资料。

De Ceukelaire在Youtube上传的解说视频。

这意味着,NameTests将获取的Facebook用户信息显示在可访问的外部网页上,理论上可以被任何人利用。唯一防止信息泄露的办法是手动删除cookies(网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据)。

“在正常情况下,其他网站不应该能够访问这些信息”,De Ceukelaire说,如果把JavaScript文件改成JSON文件,就可以修复上述问题,“NameTests正在这么做”。

网络记录显示,漏洞至少在2016年就存在了。De Ceukelaire不认为自己是唯一发现这个漏洞的人,“我只能说这个漏洞非常容易被发现,如果没人在我之前发现它,我会感到很惊讶”。

目前NameTests有1.2亿月活跃用户,在Facebook上累计获得2400万个赞。De Ceukelaire在博客里写道,“如果这个漏洞被滥用,广告商就可以基于你的Facebook发文和好友,定向推动(政治)广告……甚至还会有网站可能借机勒索,威胁将你不为人知的搜索历史告诉你的朋友”。

漏洞已被修复,继续使用需再次授权

De Ceukelaire称,他今年4月22日向Facebook提交了这一漏洞,8天以后Facebook回复正在调查,此后又称调查可能需要3到6个月。直到6月25日,他注意到漏洞已被修复。

Facebook也在漏洞悬赏官方页面表示,该漏洞已被修复,Facebook已经撤回了所有登录过NameTests的用户的访问权限,用户继续使用将需要再次授权。

Facebook在漏洞悬赏官方页面发表的声明。

Social Sweethearts则表示,目前没有发现用户个人信息被滥用的情况。

南都记者注意到,这个漏洞是通过“数据滥用悬赏”项目提交。3月,剑桥分析公司前员工爆料称,有人利用“thisisyourdigitallife”性格测试获取Facebook用户数据,并将数据提供给剑桥分析公司用于干扰美国大选,被波及的用户高达8700万。该悬赏项目是剑桥分析丑闻后,Facebook在4月刚刚上线的。

据外媒报道,Facebook曾在5月表示,为了清除可能滥用Facebook用户数据的第三方应用程序,已经进行了2个月的审核行动,调查了“数千个应用程序”,其中“大约200个”被暂封。

事实上,各类情感、性格测试依然在网上层出不穷。娱乐用户的同时,大多数都要求用户授权,而后者可能才是它们的真正目的。正如一位美国网友所说:“NameTests、Meaww等第三方测试应用提供免费娱乐并非出于好心,他们真正想要的是你和你朋友、家人的个人信息。”


报料请点击E隐私投诉小程序 

推荐阅读:

vivo摄像头不时弹出,成流氓App鉴定器?我们实测了一下…

中国网络信息法研究智库“史记”

重磅 | 公安部发布《网络安全等级保护条例(征求意见稿)》

    看世界:脸书数据泄露卷土重来?1.2亿用户或受影响

    看世界:脸书数据泄露卷土重来?1.2亿用户或受影响

    隐私护卫队 隐私护卫队

    Facebook

    Facebook8700万用户信息泄露并被剑桥分析公司滥用的余波尚未平息,又有Facebook的第三方应用被曝出可能导致1.2亿用户信息泄露。

    当地时间6月28日,“白帽子黑客”(用黑客技术做好事的安全技术人员)Inti De Ceukelaire披露,一旦使用NameTests网站旗下的第三方应用,Facebook用户的姓名、生日、照片和好友名单等个人信息会被泄露,即使删除应用,已经泄露的数据也无法被清除。据悉,目前漏洞已被修复。

    第三方应用存漏洞,或2016年就存在

    NameTests.com最流行的几款测试。

    南都记者了解到,NameTests是德国应用开发商Social Sweethearts旗下网站,专注于各种社交测试,比如“你最像哪个迪士尼公主?”“另一个性别的你长什么样?”。为了完成这些测试,Facebook用户需要分享基本资料、照片等个人信息。

    De Ceukelaire在Youtube上传的一段解说视频显示,在他自己创建的恶意网站上利用NameTests的漏洞,可以获取任何访问他Facebook个人主页的访客资料。

    De Ceukelaire在Youtube上传的解说视频。

    这意味着,NameTests将获取的Facebook用户信息显示在可访问的外部网页上,理论上可以被任何人利用。唯一防止信息泄露的办法是手动删除cookies(网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据)。

    “在正常情况下,其他网站不应该能够访问这些信息”,De Ceukelaire说,如果把JavaScript文件改成JSON文件,就可以修复上述问题,“NameTests正在这么做”。

    网络记录显示,漏洞至少在2016年就存在了。De Ceukelaire不认为自己是唯一发现这个漏洞的人,“我只能说这个漏洞非常容易被发现,如果没人在我之前发现它,我会感到很惊讶”。

    目前NameTests有1.2亿月活跃用户,在Facebook上累计获得2400万个赞。De Ceukelaire在博客里写道,“如果这个漏洞被滥用,广告商就可以基于你的Facebook发文和好友,定向推动(政治)广告……甚至还会有网站可能借机勒索,威胁将你不为人知的搜索历史告诉你的朋友”。

    漏洞已被修复,继续使用需再次授权

    De Ceukelaire称,他今年4月22日向Facebook提交了这一漏洞,8天以后Facebook回复正在调查,此后又称调查可能需要3到6个月。直到6月25日,他注意到漏洞已被修复。

    Facebook也在漏洞悬赏官方页面表示,该漏洞已被修复,Facebook已经撤回了所有登录过NameTests的用户的访问权限,用户继续使用将需要再次授权。

    Facebook在漏洞悬赏官方页面发表的声明。

    Social Sweethearts则表示,目前没有发现用户个人信息被滥用的情况。

    南都记者注意到,这个漏洞是通过“数据滥用悬赏”项目提交。3月,剑桥分析公司前员工爆料称,有人利用“thisisyourdigitallife”性格测试获取Facebook用户数据,并将数据提供给剑桥分析公司用于干扰美国大选,被波及的用户高达8700万。该悬赏项目是剑桥分析丑闻后,Facebook在4月刚刚上线的。

    据外媒报道,Facebook曾在5月表示,为了清除可能滥用Facebook用户数据的第三方应用程序,已经进行了2个月的审核行动,调查了“数千个应用程序”,其中“大约200个”被暂封。

    事实上,各类情感、性格测试依然在网上层出不穷。娱乐用户的同时,大多数都要求用户授权,而后者可能才是它们的真正目的。正如一位美国网友所说:“NameTests、Meaww等第三方测试应用提供免费娱乐并非出于好心,他们真正想要的是你和你朋友、家人的个人信息。”


    报料请点击E隐私投诉小程序 

    推荐阅读:

    vivo摄像头不时弹出,成流氓App鉴定器?我们实测了一下…

    中国网络信息法研究智库“史记”

    重磅 | 公安部发布《网络安全等级保护条例(征求意见稿)》