Facebookクイズアプリは、長年にわたって1億2000万人のデータを公開しました

「あなたが持っている美しさのタイプ」を明らかにすると主張するその小さなFacebookのクイズを受けたときのことを覚えていますか?


2017年のサムスン純資産

それとも、雑誌の表紙モデルになった面白い写真アプリですか?または、どのような「ゲームオブスローンズ」キャラクターがあなたに合っているかを教えてくれるテストでしょうか?




認めてください。これらのFacebookテストを何度も受けましたね。



このようなクイズは、ソーシャルメディアサイトで最も人気のある有罪の喜びです。 Facebookの友達全員が連れて行っていれば、おそらく大丈夫だと思うかもしれません。

さて、ケンブリッジアナリティカのスキャンダルは、これらの一見無害で楽しいクイズやアプリが、大量のデータ収集のためのトロイの木馬になる可能性があることを思い出させてくれました。

たとえば、この人気のあるサードパーティのFacebookクイズアプリをご覧ください。何年もの間ユーザー情報を漏らしているようです!

あなたは1億2000万人のうちの1人ですか?

(いいえ、これは別の愚かなクイズではありません。)




Facebookの最大のクイズアプリプラットフォームの1つであるNameTestsは、名前、誕生日、写真、ステータスの更新など、最大1億2000万人のデータを長年にわたって公開しています。

セキュリティ研究者のInti De Ceukelaireは、驚くべき欠陥を発見し、Facebookの新しい データ乱用報奨金プログラム注意: このプログラムは、悪意のあるサードパーティアプリに対するFacebookの継続的な取締りの一環として開始されました。

現在、クイズ開発者が喜んでデータを分析会社と共有しているケンブリッジアナリティカの場合とは異なり、Nametestのデータリークはそのウェブサイトの不具合によって引き起こされました。

De Ceukelaireの調査結果によると、誰かがNameTestsのクイズを受けるたびに、そのWebサイトはFacebookユーザーの個人情報を取得し、それをWebページに表示します。

問題?このページは適切に構成されておらず、誰でもアクセスできました。

「このデータが、それを要求したサードパーティに公開されていることを知ってショックを受けました」とde Cuekelaireはブログ投稿に書きました。 「通常の状況では、他のWebサイトはこの情報にアクセスできません。」

与え続けたクイズ

ウェブサイトを通じて誰かの個人情報を簡単に盗むことができることを証明するために、彼はNameTests.comに接続する独自のウェブページを設定し、各訪問者に関するデータを取得しました。




彼はテストWebサイトを通じて、Facebookアカウントからアプリを削除した後でも、過去にNameTestsを使用した各訪問者のプライベート写真、友人リスト、ステータスの更新を収集することができました。

NameTests.com

NameTests Webサイトは、最大2か月間、この情報へのアクセスを許可する秘密のアクセストークンも提供しました。

de Cuekelaireによると、この欠陥は少なくとも2016年末から存在しており、NameTestsの月間ユーザー数に基づいて、1億2000万人以上の情報を公開している可能性があります。

NameTests Webサイトの実際の動作を確認するには、以下のビデオをご覧ください。

Facebookの反応

de Cuekelaireのタイムラインに基づいて、彼は4月22日にFacebookに欠陥を報告しました。




6月25日、彼はNameTestsが欠陥を修正し、第三者がユーザーの個人情報にアクセスできなくなったことに気付きました。

そして最後に、6月28日に、FacebookはNameTestsの欠陥に関する公式の公式声明を掲載し、修正が実際に行われたことを確認しました。

Facebookは、過去にアプリを使用したすべてのFacebookユーザーの過去のNameTestsアクセストークンも取り消しました。

彼の努力に対して、Facebookはバグバウンティプログラムの一環としてde Cuekelaireに4,000ドルを授与しました。代わりに、彼はその額をプレスダム・オブ・プレス・ファンデーションに寄付しました。Facebookはこれをすぐに一致させ、合計で8,000ドルになりました。

de CuekelaireのMediumに関する完全なブログ投稿を読むには、ここをクリックしてください。

Facebookのサードパーティアプリが危険になる可能性

いつものように、Facebookの継続的な取締りにもかかわらず、NameTestsの欠陥は、サードパーティのアプリがあなたの知らないうちにあなたの情報を公開できることをさらに証明しています!




さて、その一見無害なクイズ、アプリ、またはゲームを使用する場合は、その許可を入念に確認してください。基本的な公開情報以外の情報を求めている場合は、ログインしてFacebookプロフィールへのアクセスを許可する前によく考えてください。

知っておくべきもう1つのことを次に示します。 Facebookデータへのアクセスをサードパーティアプリに許可すると、プロフィールに永久に残ることができます。

サードパーティのFacebookアプリを監査していない場合は、知らないうちに何年もデータにアクセスする可能性があります。

セキュリティの名の下、サードパーティのFacebookアプリを監査するときが来ました。