Hacker afferma che i quiz su Facebook sono ancora pericolosi

La storia ha la tendenza a ripetersi. Mesi dopo Cambridge Analytica, 120 milioni di utenti di Facebook potrebbero avere accesso ai propri dati da siti Web dannosi dopo che una società di quiz ha inserito dati come nome, sesso e persino foto all'interno di Javascript facilmente accessibili. Mentre Facebook continua a controllare centinaia di app di terze parti, l'hacker Inti De Ceukelaire ha condiviso come una vulnerabilità di sicurezza sulla piattaforma di quiz nametests.com avrebbe potuto esporre i dati di 120 milioni di utenti.

Curioso dopo lo scandalo Cambridge Analytica, Ceukelaire ha deciso di fare il suo primo quiz su Facebook per usare le sue capacità di hacking per vedere come la piattaforma di terze parti ha utilizzato i suoi dati. Ha utilizzato una piattaforma più utilizzata dai suoi amici di Facebook, nametests.com, e ha risposto a un quiz: "Quale principessa Disney sei?"

Usando il suo background di hacker, Ceukelaire ha seguito i dati e ha trovato le sue informazioni all'interno di Javascript facilmente accessibile. Il formato di Javascript è progettato per essere condiviso, il che significa che qualsiasi sito che visiti dopo quel test potrebbe accedere a quei dati. I dati includono cose come nome utente, sesso, elenchi di amici. e post condivisi.

La natura di Javascript significa che qualcuno che ha eseguito il test dovrebbe visitare un sito Web dannoso affinché si verifichi una fuga di dati, quindi il difetto non significa che i dati per tutti i 120 milioni di utenti della piattaforma siano stati compromessi. La facile accessibilità di tali dati, tuttavia, è preoccupante, afferma Ceukelaire. Come esempio di ciò che potrebbe accadere con quel tipo di falla di sicurezza, un sito web pornografico potrebbe accedere a un elenco di amici e utilizzare tale elenco di amici per ricattare gli utenti con la minaccia di esposizione, ha suggerito Ceukelaire.

Una volta visitata quella pagina Web dannosa, i dati sarebbero accessibili per un massimo di due mesi. Anche l'eliminazione di nametests.com non risolve il problema: gli utenti devono anche eliminare i cookie sul dispositivo per interrompere l'accesso ai dati.

Come parte del programma Data Abuse Bounty di Facebook, la vulnerabilità è stata ora corretta; Ceukelaire ha donato la ricompensa in beneficenza. Nametests afferma di non aver trovato nulla che suggerisca che i dati siano stati utilizzati in modo improprio e afferma di aver effettuato ulteriori test per evitare fughe di dati simili in futuro. Facebook ha anche revocato tutti gli accessi a Nametest, il che significa che gli utenti dovranno concedere nuovamente l'autorizzazione all'app per continuare a utilizzare i quiz.

Ma forse ciò che è ancora più sconcertante è che dopo Cambridge Analatica e dopo che i ricercatori di dati hanno suggerito che la maggior parte dei quiz di Facebook esiste per tenere traccia dei tuoi dati, e dopo che è stata esposta un'altra app di quiz, le piattaforme di quiz online possono ancora dire di avere 120 milioni di utenti mensili. Per scoprire quale principessa Disney vali permettere a un'altra azienda di accedere ai tuoi dati di Facebook?

Hai già risposto al quiz? Scopri come modificare le impostazioni di sicurezza qui.