Hacker siger, at Facebook-quizzer stadig er farlige

Historien har en tendens til at gentage sig selv. Måneder efter Cambridge Analytica kunne 120 millioner Facebook-brugere få adgang til deres data af ondsindede websteder, efter at et quizfirma lagde data som navn, køn og endda fotos i let tilgængeligt Javascript. Da Facebook fortsætter med at kontrollere hundredvis af tredjepartsapps, delte hackeren Inti De Ceukelaire, hvordan en sikkerhedssårbarhed på quizplatformen nametests.com kunne have eksponeret data for 120 millioner brugere.

Nysgerrig efter Cambridge Analytica-skandalen besluttede Ceukelaire at tage sin allerførste Facebook-quiz for at bruge hans hacking-færdigheder til at se, hvordan tredjepartsplatformen brugte hans data. Han brugte en platform, der var mest brugt af sine Facebook-venner, nametests.com, og tog en quiz: "Hvilken Disney-prinsesse er du?"

Ved hjælp af sin hackingbaggrund fulgte Ceukelaire dataene og fandt hans information inde i let tilgængeligt Javascript. Javascript-formatet er designet til at blive delt, hvilket betyder, at ethvert websted, som du besøger efter den test, kunne få adgang til disse data. Dataene inkluderer ting som brugernavn, køn, vennelister. og delte indlæg.

Javascriptets karakter betyder, at en person, der tog testen, skulle besøge et ondsindet websted, for at der kunne forekomme en datalækage, så fejlen betyder ikke, at data for alle 120 millioner brugere af platformen blev kompromitteret. Den nemme tilgængelighed af disse data er dog bekymrende, siger Ceukelaire. Som et eksempel på, hvad der kunne ske med denne type sikkerhedsfejl, kunne et pornografisk websted få adgang til en venneliste og bruge denne venneliste til at afpresse brugere med trussel om eksponering, foreslog Ceukelaire.

Når du besøger den ondsindede webside, vil data være tilgængelige i op til to måneder. Sletning af nametests.com løser heller ikke problemet - brugere skal også slette cookies på enheden for at stoppe dataadgangen.

Som en del af Facebooks Data Abuse Bounty-program er sårbarheden nu rettet; Ceukelaire donerede belønningen til velgørenhed. Nametests siger, at det ikke fandt noget, der tyder på, at dataene blev misbrugt, og siger, at det har sat yderligere tests for at undgå lignende datalækager i fremtiden. Facebook tilbagekaldte også al adgang til Nametests, hvilket betyder, at brugerne bliver nødt til at give appen tilladelse igen for at fortsætte med at bruge quizzen.

Men måske er det, der er endnu mere foruroligende, at efter Cambridge Analatica og efter dataforskere foreslog, at de fleste Facebook-quizzer findes for at spore dine data, og efter at en anden quiz-app blev eksponeret, kan online quizplatforme stadig sige, at de har 120 millioner brugere hver måned. Finder du ud af, hvilken Disney-prinsesse du er værd at give en anden virksomhed adgang til dine Facebook-data?

Allerede tage quizzen? Find ud af, hvordan du justerer dine sikkerhedsindstillinger her.

Seneste indlæg