Dějiny mají tendenci se opakovat. Měsíce po Cambridge Analytica mohlo mít 120 milionů uživatelů Facebooku přístup k jejich datům škodlivými webovými stránkami poté, co kvízová společnost vložila data jako jméno, pohlaví a dokonce i fotografie do snadno přístupného Javascript. Jak Facebook pokračuje v auditu stovek aplikací třetích stran, hackerka Inti De Ceukelaire sdílela, jak mohla chyba zabezpečení na kvízové platformě nametests.com odhalit data 120 milionů uživatelů.
Zvědavý po skandálu Cambridge Analytica se Ceukelaire rozhodl absolvovat svůj první kvíz na Facebooku, aby využil svých hackerských schopností a zjistil, jak platforma třetí strany použila jeho data. Využil platformu, kterou nejvíce používají jeho přátelé z Facebooku, nametests.com, a absolvoval kvíz: „Kterou Disney princeznu jste?“
Ceukelaire na základě svého hackerského pozadí sledoval data a našel své informace ve snadno přístupném Javascriptu. Formát Javascript je navržen tak, aby byl sdílen, což znamená, že k těmto datům měl přístup jakýkoli web, který po tomto testu navštívíte. Data zahrnují věci jako uživatelské jméno, pohlaví, seznamy přátel. a sdílené příspěvky.
Povaha Javascriptu znamená, že někdo, kdo podstoupil test, by musel navštívit škodlivý web, aby došlo k úniku dat, takže chyba neznamená, že byla ohrožena data za všech 120 milionů uživatelů platformy. Snadná dostupnost těchto údajů je však znepokojivá, říká Ceukelaire. Jako příklad toho, co by se mohlo stát s tímto typem bezpečnostní chyby, mohl pornografický web získat přístup k seznamu přátel a použít tento seznam přátel k vydírání uživatelů s hrozbou vystavení, navrhl Ceukelaire.
Po návštěvě této škodlivé webové stránky budou data přístupná až dva měsíce. Odstranění webu nametests.com také problém nevyřeší - uživatelé také musí odstranit soubory cookie v zařízení, aby zastavili přístup k datům.
V rámci programu Data Abuse Bounty společnosti Facebook byla nyní chyba zabezpečení opravena; Ceukelaire daroval odměnu na charitu. Nametests říká, že nenajde nic, co by naznačovalo, že data byla zneužita, a tvrdí, že provedla další testy, aby se v budoucnu zabránilo podobným únikům dat. Facebook také zrušil veškerý přístup k Nametests, což znamená, že uživatelé budou muset aplikaci znovu udělit oprávnění, aby mohli kvízy nadále používat.
Ale možná je ještě znepokojivější, že po Cambridge Analatica a poté, co vědci v oblasti dat navrhli, že existuje většina kvízů na Facebooku ke sledování vašich dat, a poté, co byla odhalena další kvízová aplikace, mohou online kvízové platformy stále říkat, že mají 120 milionů uživatelů měsíčně. Zjišťujete, které Disney princezny si zasloužíte umožnit jiné společnosti přístup k vašim datům na Facebooku?
Už jste se zúčastnili kvízu? Zde zjistíte, jak upravit nastavení zabezpečení.
