Posle skandala sa Cambridge Analytica, još jedan kviz sa Facebooka ugrozio privatne podatke miliona korisnika

Društvene mreže, 29.06.2018, 10:30 AM

Posle skandala sa Cambridge Analytica, još jedan kviz sa Facebooka ugrozio privatne podatke miliona korisnika

Facebooku još uvek nije zaboravljen skandal sa firmom Cambridge Analytica koja je zloupotrebila podatke korisnika društvene mreže. Kompanija se ranije ove godine našla u centru skandala kada je otkriveno da su podaci miliona korisnika popularne kviz aplikacije prodati konsultantskoj firmi Cambridge Analytica koja je, navodno, pomogla Donaldu Trampu da pobedi na američkim predsedničkim izborima 2016. godine.

Sada Facebook ponovo ima problem zbog slične aplikacije - kviza drugog proizvođača, nazvanog NameTests, koji je otkrio podatke 120 miliona korisnika Facebooka svima koji su ih našli.

NameTests[.]com, web sajt koji stoji iza popularnih društvenih kvizova, kao što je "Koja Diznijeva princeza ste vi?", koristi Facebook platformu za aplikacije kako bi omogućio korisnicima brzo prijavljivanje.

Kao što je slučaj i sa drugim Facebook aplikacijama, prijavljivanje na web sajt NameTests pomoću njihove aplikacije omogućava kompaniji da preuzme neophodne informacije o profilu korisnika sa Facebooka, naravno, uz saglasnost.

Međutim, etički haker Inti De Ceukelaire, otkrio je da popularni web sajt kviza propušta upisane podatke korisnika drugim web sajtovima koji su otvoreni u istom pregledaču, omogućavajući bilo kom malicioznom web sajtu da lako dođe do tih podataka.

Ceukelaire je rekao da voli da učestvuje u programu protiv zloupotrebe podataka koji je Facebook nedavno pokrenuo zbog skandala sa Cambridge Analytica. Tako je počeo da analizira aplikacije koje su njegovi prijatelji sa Facebooka koristili.

Ceukelaire je odlučio da prođe kroz svoj prvi kviz, aplikaciju NameTests, a pošto je pažljivo posmatrao proces testiranja, primetio je da web sajt preuzima njegove lične podatke iz "http://nametests[.]com/appconfig_user" i prikazuje ih na svom web sajtu. Ceukelaire je bio šokiran kad je video svoje lične podatke u JavaScript fajlu (zapravo JSON fajlu), kome bi lako mogao pristupiti praktično svaki web sajt kada bi to zatražio.

Problem je u bagu, jednostavnom ali ozbiljnom, na sajtu NameTests, koji je prisutan još od kraja 2016. godine. Ceukelaire nije spomenuo konkretan problem koji je doveo do toga da web sajt propušta podatke na druge web sajtove, što inače ne bi trebalo da se dešava.

Da bi pokazao kako ovo funkcioniše, Ceukelaire je napravio malicioznu web stranicu koja bi se povezala sa NameTestsom kako bi došla do podataka korisnika koji koriste aplikaciju, uključujući imena, fotografije, objave, slike i liste prijatelja svih koji učestvuju u kvizu.

Ceukelaire je napravio i video snimak kao dokaz za svoje tvrdnje, kako bi pokazao kako je web sajt NameTests otkrivao vaše lične podatke čak i nakon brisanja aplikacije.

Ceukelaire je 22. aprila obavestio Facebook o ovome, i tek posle mesec dana kompanija mu je odgovorila da im treba tri do šest meseci da istraže ovaj problem.

Više od dva meseca nakon što je prijavio problem Facebooku, Ceukelaire je primetio da je NameTests rešio problem i obavestio ga da nisu nađeni nikakvi dokazi o zloupotrebi izloženih podataka od bilo koje treće strane.

27. juna, Facebook je kontaktirao Ceukelairea i obavestio ga da je NameTests rešio problem i na njegov zahtev donirao 8000 dolara Fondaciji za slobodu štampe iz svog programa za nagrađivanje istraživača koji otkriju potencijalnu zloupotrebu podataka.

Nemačka kompanija Social Sweethearts, koja stoji iza NameTests, tvrdi da ima više od 250 miliona registrovanih korisnika i da je dostigla više od 3 milijarde prikaza stranice mesečno.

Najnoviji incident pokazuje da, čak i nakon što je Facebook promenio uslove za pristup aplikacijama na svojoj platformi 2015. godiei, kompanija nije uspela da se adekvatno zaštiti od takvih aplikacija koje imaju pristup velikim količinama ličnih podataka na platformi.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Instagram najavio obračun sa lažnim pratiocima, lajkovima i komentarima

Instagram najavio obračun sa lažnim pratiocima, lajkovima i komentarima

Platforma za deljenje fotografija, Instagram, najavila je obračun sa lažnim lajkovima i komentarima. Instagram je objavio da će njihova nova inicij... Dalje

Procurele lozinke ''malog broja'' korisnika Instagrama

Procurele lozinke ''malog broja'' korisnika Instagrama

Još jedan bezbednosni problem za Facebook, tačnije za online servis koji je u njegovom vlasništvu. Naime, "mali broj" lozinki korisnika Instagrama,... Dalje

Lažna tehnička podrška zastrašuje korisnike Facebooka da su im nalozi hakovani

Lažna tehnička podrška zastrašuje korisnike Facebooka da su im nalozi hakovani

Aktuelna je nova prevara sa tehničkom podrškom, u kojoj se koristi Facebookov dijalog Sharer kako bi se korisnici uplašili i naveli na pomisao da j... Dalje

Korisnicima Facebooka dostupna nova opcija koja omogućava brisanje poslatih poruka

Korisnicima Facebooka dostupna nova opcija koja omogućava brisanje poslatih poruka

Pre sedam meseci, mediji su objavili da je Facebook tajno povlačio poruke koje je slao direktor kompanije Mark Zakerberg. Tada je to u javnosti shva... Dalje

Instagram, a verovatno uskoro i Facebook, dodaju nove funkcije za kontrolu vremena provedenog na društvenim mrežama

Instagram, a verovatno uskoro i Facebook, dodaju nove funkcije za kontrolu vremena provedenog na društvenim mrežama

U avgustu su Facebook i Instagram najavili da će uvesti nove kontrolne table koje bi pratile koliko su korisnici proveli vremena u aplikacijama. Sve... Dalje