Posle skandala sa Cambridge Analytica, još jedan kviz sa Facebooka ugrozio privatne podatke miliona korisnika

Društvene mreže, 29.06.2018, 10:30 AM

Facebooku još uvek nije zaboravljen skandal sa firmom Cambridge Analytica koja je zloupotrebila podatke korisnika društvene mreže. Kompanija se ranije ove godine našla u centru skandala kada je otkriveno da su podaci miliona korisnika popularne kviz aplikacije prodati konsultantskoj firmi Cambridge Analytica koja je, navodno, pomogla Donaldu Trampu da pobedi na američkim predsedničkim izborima 2016. godine.

Sada Facebook ponovo ima problem zbog slične aplikacije - kviza drugog proizvođača, nazvanog NameTests, koji je otkrio podatke 120 miliona korisnika Facebooka svima koji su ih našli.

NameTests[.]com, web sajt koji stoji iza popularnih društvenih kvizova, kao što je "Koja Diznijeva princeza ste vi?", koristi Facebook platformu za aplikacije kako bi omogućio korisnicima brzo prijavljivanje.

Kao što je slučaj i sa drugim Facebook aplikacijama, prijavljivanje na web sajt NameTests pomoću njihove aplikacije omogućava kompaniji da preuzme neophodne informacije o profilu korisnika sa Facebooka, naravno, uz saglasnost.

Međutim, etički haker Inti De Ceukelaire, otkrio je da popularni web sajt kviza propušta upisane podatke korisnika drugim web sajtovima koji su otvoreni u istom pregledaču, omogućavajući bilo kom malicioznom web sajtu da lako dođe do tih podataka.

Ceukelaire je rekao da voli da učestvuje u programu protiv zloupotrebe podataka koji je Facebook nedavno pokrenuo zbog skandala sa Cambridge Analytica. Tako je počeo da analizira aplikacije koje su njegovi prijatelji sa Facebooka koristili.

Ceukelaire je odlučio da prođe kroz svoj prvi kviz, aplikaciju NameTests, a pošto je pažljivo posmatrao proces testiranja, primetio je da web sajt preuzima njegove lične podatke iz "http://nametests[.]com/appconfig_user" i prikazuje ih na svom web sajtu. Ceukelaire je bio šokiran kad je video svoje lične podatke u JavaScript fajlu (zapravo JSON fajlu), kome bi lako mogao pristupiti praktično svaki web sajt kada bi to zatražio.

Problem je u bagu, jednostavnom ali ozbiljnom, na sajtu NameTests, koji je prisutan još od kraja 2016. godine. Ceukelaire nije spomenuo konkretan problem koji je doveo do toga da web sajt propušta podatke na druge web sajtove, što inače ne bi trebalo da se dešava.

Da bi pokazao kako ovo funkcioniše, Ceukelaire je napravio malicioznu web stranicu koja bi se povezala sa NameTestsom kako bi došla do podataka korisnika koji koriste aplikaciju, uključujući imena, fotografije, objave, slike i liste prijatelja svih koji učestvuju u kvizu.

Ceukelaire je napravio i video snimak kao dokaz za svoje tvrdnje, kako bi pokazao kako je web sajt NameTests otkrivao vaše lične podatke čak i nakon brisanja aplikacije.

Ceukelaire je 22. aprila obavestio Facebook o ovome, i tek posle mesec dana kompanija mu je odgovorila da im treba tri do šest meseci da istraže ovaj problem.

Više od dva meseca nakon što je prijavio problem Facebooku, Ceukelaire je primetio da je NameTests rešio problem i obavestio ga da nisu nađeni nikakvi dokazi o zloupotrebi izloženih podataka od bilo koje treće strane.

27. juna, Facebook je kontaktirao Ceukelairea i obavestio ga da je NameTests rešio problem i na njegov zahtev donirao 8000 dolara Fondaciji za slobodu štampe iz svog programa za nagrađivanje istraživača koji otkriju potencijalnu zloupotrebu podataka.

Nemačka kompanija Social Sweethearts, koja stoji iza NameTests, tvrdi da ima više od 250 miliona registrovanih korisnika i da je dostigla više od 3 milijarde prikaza stranice mesečno.

Najnoviji incident pokazuje da, čak i nakon što je Facebook promenio uslove za pristup aplikacijama na svojoj platformi 2015. godiei, kompanija nije uspela da se adekvatno zaštiti od takvih aplikacija koje imaju pristup velikim količinama ličnih podataka na platformi.