Posle skandala sa Cambridge Analytica, još jedan kviz sa Facebooka ugrozio privatne podatke miliona korisnika

Društvene mreže, 29.06.2018, 10:30 AM

Posle skandala sa Cambridge Analytica, još jedan kviz sa Facebooka ugrozio privatne podatke miliona korisnika

Facebooku još uvek nije zaboravljen skandal sa firmom Cambridge Analytica koja je zloupotrebila podatke korisnika društvene mreže. Kompanija se ranije ove godine našla u centru skandala kada je otkriveno da su podaci miliona korisnika popularne kviz aplikacije prodati konsultantskoj firmi Cambridge Analytica koja je, navodno, pomogla Donaldu Trampu da pobedi na američkim predsedničkim izborima 2016. godine.

Sada Facebook ponovo ima problem zbog slične aplikacije - kviza drugog proizvođača, nazvanog NameTests, koji je otkrio podatke 120 miliona korisnika Facebooka svima koji su ih našli.

NameTests[.]com, web sajt koji stoji iza popularnih društvenih kvizova, kao što je "Koja Diznijeva princeza ste vi?", koristi Facebook platformu za aplikacije kako bi omogućio korisnicima brzo prijavljivanje.

Kao što je slučaj i sa drugim Facebook aplikacijama, prijavljivanje na web sajt NameTests pomoću njihove aplikacije omogućava kompaniji da preuzme neophodne informacije o profilu korisnika sa Facebooka, naravno, uz saglasnost.

Međutim, etički haker Inti De Ceukelaire, otkrio je da popularni web sajt kviza propušta upisane podatke korisnika drugim web sajtovima koji su otvoreni u istom pregledaču, omogućavajući bilo kom malicioznom web sajtu da lako dođe do tih podataka.

Ceukelaire je rekao da voli da učestvuje u programu protiv zloupotrebe podataka koji je Facebook nedavno pokrenuo zbog skandala sa Cambridge Analytica. Tako je počeo da analizira aplikacije koje su njegovi prijatelji sa Facebooka koristili.

Ceukelaire je odlučio da prođe kroz svoj prvi kviz, aplikaciju NameTests, a pošto je pažljivo posmatrao proces testiranja, primetio je da web sajt preuzima njegove lične podatke iz "http://nametests[.]com/appconfig_user" i prikazuje ih na svom web sajtu. Ceukelaire je bio šokiran kad je video svoje lične podatke u JavaScript fajlu (zapravo JSON fajlu), kome bi lako mogao pristupiti praktično svaki web sajt kada bi to zatražio.

Problem je u bagu, jednostavnom ali ozbiljnom, na sajtu NameTests, koji je prisutan još od kraja 2016. godine. Ceukelaire nije spomenuo konkretan problem koji je doveo do toga da web sajt propušta podatke na druge web sajtove, što inače ne bi trebalo da se dešava.

Da bi pokazao kako ovo funkcioniše, Ceukelaire je napravio malicioznu web stranicu koja bi se povezala sa NameTestsom kako bi došla do podataka korisnika koji koriste aplikaciju, uključujući imena, fotografije, objave, slike i liste prijatelja svih koji učestvuju u kvizu.

Ceukelaire je napravio i video snimak kao dokaz za svoje tvrdnje, kako bi pokazao kako je web sajt NameTests otkrivao vaše lične podatke čak i nakon brisanja aplikacije.

Ceukelaire je 22. aprila obavestio Facebook o ovome, i tek posle mesec dana kompanija mu je odgovorila da im treba tri do šest meseci da istraže ovaj problem.

Više od dva meseca nakon što je prijavio problem Facebooku, Ceukelaire je primetio da je NameTests rešio problem i obavestio ga da nisu nađeni nikakvi dokazi o zloupotrebi izloženih podataka od bilo koje treće strane.

27. juna, Facebook je kontaktirao Ceukelairea i obavestio ga da je NameTests rešio problem i na njegov zahtev donirao 8000 dolara Fondaciji za slobodu štampe iz svog programa za nagrađivanje istraživača koji otkriju potencijalnu zloupotrebu podataka.

Nemačka kompanija Social Sweethearts, koja stoji iza NameTests, tvrdi da ima više od 250 miliona registrovanih korisnika i da je dostigla više od 3 milijarde prikaza stranice mesečno.

Najnoviji incident pokazuje da, čak i nakon što je Facebook promenio uslove za pristup aplikacijama na svojoj platformi 2015. godiei, kompanija nije uspela da se adekvatno zaštiti od takvih aplikacija koje imaju pristup velikim količinama ličnih podataka na platformi.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima

TikTok kažnjen zbog štetnog sadržaja koji je preporučivan maloletnim korisnicima

Italijanska regulatorno telo za zaštitu konkurencije kaznilo je TikTok sa 10 miliona evra jer nije zaštitio korisnike od opasne igre poznate kao Fre... Dalje

Investicione prevare u reklamama na Facebooku

Investicione prevare u reklamama na Facebooku

Istraživači sajber bezbednosti iz firme Infoblox upozorili su korisnike na grupu Savvy Seahorse koja koristi Facebook reklame da bi prevarila korisn... Dalje

Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija

Prevaranti na X-u tražili donacije sa hakovanog naloga Metjua Perija

Zvanični nalog Metjua Perija na X-u (nekadašnji Twitter) je hakovan, a oni koji su to uradili zatražili su donacije od obožavalaca pokojnog glumca... Dalje

Od zabave do gubitka podataka: Mračna strana Facebook kvizova

Od zabave do gubitka podataka: Mračna strana Facebook kvizova

Sećate li se svih onih naizgled bezazlenih kvizova na društvenim mrežama? Iako su mnogima zabavni, oni su zapravo ozbiljan rizik za privatnost i b... Dalje

Evropska komisija pokreće istragu o TikToku zbog kršenja zakona EU o zaštiti i privatnosti dece

Evropska komisija pokreće istragu o TikToku zbog kršenja zakona EU o zaštiti i privatnosti dece

Evropska komisija otvorila je istragu o TikToku zbog sumnje da krši pravila Evropske unije o zaštiti dece, transparentnosti oglašavanja, pristupa p... Dalje