Facebook 又曝丑闻 NameTests 应用泄露1.2亿用户数据

翻译：360代码卫士团队

当人们还在努力消化本年度最具争议的数据丑闻即剑桥分析公司丑闻时，Facebook 又被曝托管在平台上的另一款应用 NameTests 泄露1.2亿用户的个人数据。

今年年初，剑桥分析公司被指从 Facebook 平台上的一款 app 购买8700万名用户的数据，帮助特朗普竞选2016年美国总统。

目前，一名道德黑客指出，NameTests 应用泄露了1.2亿 Facebook 用户的个人详情。NameTest[.] com 网站是多款热门社交测试的来源，如“你是迪士尼中的哪个公主？”等，每个月的用户约1.2亿，通过 Facebook app 平台提供快速登录方式。

和其它 Facebook app 一样，通过自己的 app 登录 NameTests 网站能获取 Facebook 用户的必要信息。然而，自称为黑客的人士 Inti De Ceukelaire 指出，这款人们测试网站将登录用户的详情泄露给在同一个浏览器中打开的其它网站，导致恶意网站能够轻易获取这些数据。

Ceukelaire 在 Medium平台上发表文章指出，自己有意参与继剑桥分析公司丑闻后Facebook 推出的数据滥用奖励计划，因此他开始查看 Facebook 好友安装的 app。随后他决定通过 NameTests app 进行第一轮测试，仔细查看测试进程后发现该网站从 "http://nametests[.]com/appconfig_user"中提取自己的个人信息并展示在网站上。

Ceukelaire 发现自己的个人信息出现在 JavaScript 文件（实际上是一个 JSON 文件）中后非常震惊，因为只要发出请求任何网站均可轻易访问该信息。

NameTest 网站上存在一个简单但严重的缺陷，似乎自2016年末就已存在。

尽管 Ceukelaire 并未提及导致网站泄露用户个人信息的具体缺陷，但如果浏览器的跨源资源共享策略（阻止网站在未获得明确同意的情况下读取其它网站的内容）没问题的话，这个缺陷就不可能存在。

于是，笔者发现 NameTests 错误地配置了 “Acess-Control-Allow-Origin” 头部策略，该策略存在于 web 服务器上，旨在判断某域名上的信息能否和其它源/域名共享。NameTests 网站上的头部策略被配置为 ‘*’（通配符），可允许其他来源的站点访问 NameTests 的资源。

Ceukelaire 开发了一个恶意网站作为 PoC，该网站可连接至 NameTests，通过该 app 挖掘访客数据。通过编写一些简单的代码就能捕获参加测试的所有人员的姓名、照片、帖子、图片和好友列表。

Ceukelaire 还通过视频演示了即使删除 NameTests app 之后，NameTests 网站仍然会暴露用户的个人信息。

Ceukelaire 在4月22日通过 Facebook 的漏洞奖励计划提交漏洞，但一个多月过后，Facebook 表示将耗费三到六个月的时间调查该问题。但在首次汇报缺陷后的两个多月后，Ceukelaire 发现 NameTests 已修复该问题，且被告知被暴露数据并未遭任何第三方滥用。

6月27日，Facebook 联系 Ceukelaire 称NameTests 已修复该问题，并根据其要求将所获得的8000美元的奖励捐给 Facebook 数据滥用奖励计划下属的新闻自由基金会。

NameTests 网站的所有者德国公司 Social Sweethearts 声称已拥有超过2.5亿注册用户，且每个月的页面浏览量已超过30多亿次。

这次事件表明，即使 Facebook 在2015年就更改了应用访问平台数据的条件，但仍未能正确规范此类能够访问大量平台用户个人数据的行为。

原文链接

https://thehackernews.com/2018/06/facebook-users-data-leak.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。