Foto: Getty
Facebook ‘ s løb til at bevise det er en god og troværdig virksomhed i løbet af de sidste par måneder sparket ud, da det blev afsløret, at en quiz-app, der sælges bruger data til en politisk virksomhed. Nu, en anden quiz app, er at få nogle hea. En forsker opdagede, at en tredjeparts-app kaldet NameTests venstre data på 120 mio Facebook-brugere er udsat for alle, der er sket for at finde det.
Facebook ‘s privacy-skandalen startede i Marts, da det blev afsløret, at en data firma hyret af Donald Trump’ s præsidentkampagne, Cambridge Analytica, havde købt ulovligt Facebook bruger data fra en professor, der kører en nyhed quiz app kaldet “thisisyourdigitallife.” Facebook vidste om denne krænkelse af sine politikker og gjorde stort set intet om det i flere år. Men som CEO Mark Zuckerberg begyndte at få trukket i front af lovgivere, og investorerne fik nervøs, Facebook udrullet ændringer—nogle store, nogle små. En revision af tredjeparts-apps, som resulterede i, at suspensionen af omkring 200 apps i Maj. Men det ser ud til at der kan være masser af problemer, som venter derude, som det fremgår af etiske hacker Inti De Ceukelaire ‘ s opdagelse af NameTests sikkerhedshul.
På onsdag, De Ceukelaire beskrevet processen med at rapportere en fejl på hjemmesiden bag quiz app til Facebook ‘ s nystiftede Misbrug af Data Bounty program. Der har aldrig personligt brugt en quiz-app, De Ceukelaire begyndte at kigge på de apps hans venner på Facebook havde installeret. Han valgte at tage sin første quiz gennem NameTests app. Da han begyndte at spore, hvordan deres data blev håndteret, bemærkede han, at NameTest websted for at hente sin information fra URL “http://nametests.com/appconfig_user.” Hans personlige data, som blev afholdt i en JavaScript-fil, der nemt kunne være fremsat af enhver hjemmeside, der vidste at spørge.
De Ceukelaire giver eksempel på en hypotetisk lyssky porno hjemmeside, der er klar over, hvor sårbare. En Facebook-bruger kan du besøge porno hjemmeside, kunne man spørge NameTest hvis denne besøgende har en profil, og hvis de gjorde, porno hjemmeside, der potentielt kunne hente en række data om den pågældende bruger. Hvad mere er, NameTest ville give en adgang token, der ville tillade lyssky stedet for at fortsætte med at få adgang til oplysninger om en brugers indlæg, billeder og venner i op til to måneder. De Ceukelaire skrev, “afhængigt af, hvad quizzer, du tog, javascript, kan lække dit Facebook ID, fornavn, efternavn, sprog, køn, fødselsdato, profilbillede, cover foto -, valuta -, enheder, du bruger, da dine oplysninger sidst blev opdateret, dine indlæg og statusser, dine fotos og dine venner.” Han har lavet en video af en dummy hjemmeside, han har sat op til at drage fordel af fejlen, hvis du gerne vil se, hvordan det virker i praksis.
Den NameTest sårbarhed kan have været en simpel fejl eller et eksempel på, uagtsomhed, men det er helt sikkert en gut eksempel på, hvor lidt kontrol Facebook har over bruger data, da det flyder ud i verden på tværs af tusindvis af apps. En målrettet hacker kan bruge disse data punkter til at udføre alle former for forbryderiske aktiviteter. I den skyggefulde porno site eksempel, De Ceukelaire cites potentiale for afpresning af en bruger ved at afsløre deres aktiviteter til deres venner og familie.
Den NameTest opdagelse, som ikke kun viser, hvor meget vi stadig ikke ved om tredjeparts-apps, der blev leveret sammen med vores data, er det også viser den knirkende processen bag Facebook ‘ s Misbrug af Data Bounty. De Ceukelaire rapporterede problem på April 22. Otte dage senere, Facebook svarede, at det var at kigge ind i det. Den Maj 14, han tjekket for at se, hvis Facebook havde kontaktet NameTest udviklere. Otte dage senere Facebook svarede, at det kunne tage tre til seks måneder til at gå gennem en undersøgelse. I mellemtiden, NameTest var bare at sidde der med denne let observerbare sikkerhedshul.
Tiden gik med ingen ord fra Facebook og juni 25, De Ceukelaire bemærket, at NameTest havde rettet problemet. Efter kontakt med Facebook, erkendte de rette og blev enige om at donere $8.000 til pressefrihed Foundation som en del af sin løn for bounty. Så ifølge De Ceukelaire, Facebook tog mindst en måned på at løse problemet, og det var at blive jagtet for at opfylde sit løfte om dusør.
Når vi kontaktede NameTest ‘ s moderselskab, Sociale Kærester, om det problem, som er talsmand fortalte os:
Undersøgelsen viste, at der var beviser for, at personlige data om brugere videregives til en uautoriseret tredjemand, og alle de mere, at der var beviser for, at det var blevet misbrugt. Ikke desto mindre, data sikkerhed tages meget alvorligt på sociale kærester og foranstaltninger, der er i øjeblikket træffes for at undgå risici i fremtiden.
Vi spurgte Facebook, hvis denne form for langsom reaktion er fælles med sin dusør-program. Vi fik en standardtekst erklæring tilskrives Ime Archibong, Facebook ‘ s vice president for product partnerskaber. Det lyder i sin helhed:
En forsker, der bragte spørgsmålet med nametests.com hjemmeside til vores opmærksomhed gennem vores Misbrug af Data Bounty Program, som vi lancerede i April for at fremme rapporter, der involverer Facebook data. Vi arbejdede med nametests.com for at løse den svaghed på deres hjemmeside, som blev afsluttet i juni.
Facebook pegede også os til et blog-indlæg på sin bug bounty side, der gik op denne morgen. Det ikke indeholde mere info og er udformet som hvis det er en frivillig bekendtgørelse rose De Ceukelaire ‘s find og fejrer sit arbejde med NameTest’ s team for at løse problemet. Virkeligheden er, at Facebook er igen åbner op omkring et problem, det er kendt i nogen tid, efter at det er blevet offentligt kaldt ud. Cyklen er trættende, og er fast forankret i virksomhedens DNA.
Vi kommer til at se flere afsløringer om tredjeparts-apps, som forkert håndtering af data; Facebook er blevet klar over, at. Men det fremgår også, at Facebook bevæger sig ufatteligt langsomt, når det drejer sig om at løse problemer, når de opstår. Måske Facebook kan aflede nogle ressourcer fra dens frisk-aflyst drone-programmet til at opbygge en bounty team til at fremskynde tingene op.
[Medium via TechCrunch]