Foto: Getty
Facebook das Rennen zu beweisen, es ist eine gute und Vertrauenswürdige Firma in den letzten Monaten gekickt, wenn es wurde aufgedeckt, dass eine quiz-app verkauft user-Daten an ein politisches Unternehmen. Nun, eine andere quiz-app ist immer etwas Wärme. Ein Forscher entdeckt, dass eine Drittanbieter-app namens NameTests Links die Daten von 120 Millionen Facebook-Nutzer ausgesetzt wer passiert ist, um es zu finden.
Facebook-Privatsphäre-Skandal begann im März, wenn es wurde aufgedeckt, dass eine Daten-Firma angeheuert, von Donald Trump Präsidentschafts-Kampagne, Cambridge Analytica, hatte illegal gekaufte Facebook-user-Daten von einem professor, der läuft ein Novum quiz-app namens “thisisyourdigitallife.” Facebook wusste von dieser Verstoß gegen Ihre Richtlinien und wusste praktisch nichts über Sie seit Jahren. Aber wie CEO Mark Zuckerberg begann sich geschleppt, vor der Gesetzgeber und die Investoren nervös, Facebook ausgerollt änderungen—einige große, einige kleine. Ein audit von Drittanbieter-apps führte in der suspension von rund 200 apps im Mai. Aber es scheint, es könnte viel mehr Probleme warten da draußen zeigt als ethical hacker Inti De Ceukelaire Entdeckung der NameTests Sicherheitslücke.
Am Mittwoch, De Ceukelaire beschrieb den Prozess der Berichterstattung ein Fehler in der website hinter dem quiz app Facebook neu gegründet Missbrauch der Daten-Bounty-Programm. Da ich noch nie persönlich eine quiz-app, De Ceukelaire begann, mich auf die apps, die seine Freunde auf Facebook installiert hatte. Er gewählt, um seine erste quiz über die NameTests app. Als er anfing, zu verfolgen, wie seine Daten verarbeitet werden, bemerkte er, dass NameTest wurde die Homepage abrufen der seine Informationen aus der URL “http://nametests.com/appconfig_user.” Seine persönlichen Daten abgehalten wurde, in eine JavaScript-Datei konnte problemlos angefordert werden, indem Sie jede website, die kannte zu Fragen.
De Ceukelaire gibt das Beispiel eines hypothetischen zwielichtigen porno-site, dass die Sicherheitsanfälligkeit ausgenutzt wird. Ein Facebook-user besuchen das porno-site, die Website könnte Fragen NameTest wenn dieser Besucher hat ein Profil, und wenn Sie es Taten, die porno-Website könnte möglicherweise herunterladen einer Anzahl der Datenpunkte, über die Benutzer. Was mehr ist, NameTest würde einen access-token, die erlauben würde, die schattigen Website, um weiterhin Zugang zu Informationen über Beiträge eines Nutzers, Fotos und Freunde für bis zu zwei Monate. De Ceukelaire schrieb, “je nachdem, was Quiz, die Sie nahm, die javascript entweichen könnten, Ihre Facebook-ID, Vorname, Nachname, Sprache, Geschlecht, Geburtsdatum, Profilbild, Titelbild, Währung, Geräte, die Sie verwenden, wenn Ihre Daten zuletzt aktualisiert wurde, Ihre Beiträge und Status, Ihre Fotos und Ihre Freunde.” Er machte ein video von einer dummy-website, die er einrichten, um die Vorteile der Fehler, wenn Sie möchten, um zu sehen, wie es in der Praxis funktioniert.
Die NameTest Sicherheitsanfälligkeit kann ein einfacher Fehler oder ein Beispiel für die Fahrlässigkeit, aber es ist sicherlich eine viszerale Beispiel dafür, wie wenig die Aufsicht Facebook hat mehr user-Daten, wie Sie schwebt hinaus in die Welt, über Tausende von apps. Ein entschlossener hacker verwenden könnte, diese Daten-Punkte zu erreichen, alle Arten von ruchlosen Aktivitäten. In dem zwielichtigen porno-site Beispiel De Ceukelaire zitiert das Potenzial für die Erpressung eines Benutzers durch Offenlegung Ihrer Aktivitäten, um Ihre Freunde und Familie.
Die NameTest Entdeckung, die nicht nur zeigt, wie viel wir noch nicht wissen, über Drittanbieter-apps, die geliefert wurden, sind mit unseren Daten, so zeigt es auch das knarrende Prozess, der hinter Facebook die Daten Missbrauchen Bounty. De Ceukelaire sagt er berichtet in der Ausgabe am April 22, und acht Tage später, Facebook reagiert, dass es in Sie suchen. Am Mai 14, er überprüft, um zu sehen, wenn Facebook kontaktiert hatte, die NameTest Entwickler. Acht Tage später Facebook antwortete, dass es könnte möglicherweise nehmen Sie drei bis sechs Monate gehen Sie durch eine Untersuchung. Inzwischen NameTest saß da einfach so und mit dieser leicht zu beobachtende Sicherheitslücke.
Die Zeit ging weiter kein Wort aus Facebook und am Juni 25, De Ceukelaire bemerkt, dass NameTest hatte das Problem behoben wurde. Nach Kontaktaufnahme mit Facebook, es bestätigt die fix und vereinbart, um zu Spenden $8.000 auf die Pressefreiheit-Stiftung als Teil Ihrer Belohnung für die bounty. Also laut De Ceukelaire, Facebook brauchte mindestens einen Monat, um das problem zu beheben, und es musste gejagt werden zur Erfüllung seiner fülle Versprechen.
Wenn wir kontaktiert NameTest, ist die Muttergesellschaft der Unternehmen, die Social Sweethearts, über das Problem, ein Sprecher sagte uns:
Die Untersuchung ergab, dass es keine Beweise, dass persönliche Daten der Nutzer war an unberechtigte Dritte weitergegeben und umso mehr, dass es keine Beweise, dass es dazu missbraucht wurden. Dennoch, die Datensicherheit wird sehr ernst genommen bei social sweethearts und Maßnahmen werden derzeit ergriffen, um Risiken zu vermeiden in der Zukunft.
Wir fragten Facebook, wenn diese Art der langsamen Reaktion ist gemeinsam mit seiner bounty-Programm. Wir bekamen einen vorformulierten Erklärung zugerechnet Ime Archibong, Facebook vice president für Produkt-Partnerschaften. Dort heißt es im Wortlaut:
Ein Forscher brachte das Problem mit der nametests.com website zu unserer Aufmerksamkeit durch unsere Daten Missbrauchen Bounty-Programm, das wir im April an den Start zu ermutigen, Berichte mit Facebook-Daten. Wir arbeiteten mit nametests.com zur Behebung der Schwachstelle auf Ihrer website, das war im Juni abgeschlossen.
Facebook wies uns außerdem auf einen blog-Eintrag auf seine bug-bounty-Seite, die ging bis heute morgen. Es enthält mehr Infos und ist eingerahmt, als ob Sie eine freiwillige Ansage zu loben De Ceukelaire finden und feiert seinen arbeiten mit NameTest ‘ s team, um das problem zu beheben. Die Realität ist Facebook wieder eröffnen über ein Thema, es ist bekannt für einige Zeit, erst, nachdem es öffentlich genannt werden, aus. Der Zyklus ist anstrengend und fest verwurzelt in der Unternehmens-DNA.
Wir werden sehen, mehr Enthüllungen über apps von Drittanbietern, unsachgemäße Handhabung von Daten; Facebook wurde ziemlich klar. Aber es scheint auch, dass Facebook bewegt sich quälend langsam, wenn es um die Bewältigung von Problemen, wenn Sie entstehen. Vielleicht Facebook können, leiten Sie einen Teil der Ressourcen seiner frisch-abgesagt-Drohnen-Programm in den ausbau der bounty-team, um Dinge zu beschleunigen.
[Medium via TechCrunch]