Cảnh báo Hacking

[CẢNH BÁO] Ứng dụng Facebook “Nametests” để lộ thông tin của 120 triệu người dùng

Nếu năm trước bạn đã thử sử dụng ứng dụng Facebook tìm mình giống công chúa Disney nào, bạn có thể đã phải bỏ ra nhiều hơn là cái tên của bạn.

Một nhà nghiên cứu bảo mật đã tìm ra rằng “Nametests” – một app câu đố phổ biến trên Facebook đã có một lỗ hổng cho phép bất cứ ai lấy thông tin về hơn 120 triệu người. Kể cả khi ứng dụng đã được xóa

Lỗ hổng này chỉ ra các vấn đề riêng tư của Facebook khi mạng xã hội lớn nhất thế giới tiếp tục đối mặt với những vấn đề về rò rỉ thông itn từ vụ bê bối Cambridge Analytica. Công ty phân tích dữ liệu, được tư vấn với chiến dịch Trump trong cuộc bầu cử tổng thống Mỹ năm 2016, cũng đã sử dụng một bài kiểm tra tính cách để thu thập dữ liệu trên 87 triệu người dùng Facebook mà không có sự cho phép của họ.

Không giống như trường hợp của Cambridge Analytica, lỗ hổng này không liên quan đến các chính sách của Facebook – vấn đề bảo mật nằm trong lỗ hổng trong ở trên trang web Nametests.

Facebook đã giải quyết vấn đề bằng một bài đăng trên trang Bug Bounty của họ, viết rằng mạng xã hội đã làm việc với các nhà phát triển Nametests, Social Sweethearts, để giải quyết lỗ hổng này. Hơn 120 triệu người mỗi đã sử dụng ứng dụng này mỗi tháng

Ime Archibong, phó chủ tịch phụ trách sản phẩm đối tác của Facebook cho biết: “Một nhà nghiên cứu bảo mật đã đưa vấn đề này lên trang web nametests.com thông qua Chương trình Bounty Data Abuse của chúng tôi mà chúng tôi đã bắt đầuvào tháng 4 để khuyến khích các báo cáo liên quan đến lỗ hổng của Facebook”. “Chúng tôi đã làm việc với nametests.com để giải quyết lỗ hổng trên trang web của họ”, việc sửa lỗi đã được hoàn thành vào tháng 6.

Nhà nghiên cứu bảo mật Inti de Cuekelaire đã nêu chi tiết về khám phá của ông trong một bài đăng treen trang Medium. Anh ấy viết rằng anh ấy nhận thấy thông tin cá nhân của mình được tải trên trang web của Nametests mà không cần bất kỳ biện pháp mã hóa hoặc bảo mật nào và dữ liệu đó được cung cấp công khai cho bất kỳ ai có liên kết. Các dữ liệu bao gồm tên, quốc gia, ngày sinh, giới tính và tuổi tác.

“Tôi đã bị sốc khi thấy rằng dữ liệu này được công bố công khai cho bất kỳ bên thứ ba nào yêu cầu nó”, de Cuekelaire viết. “Bình thường, các trang web khác sẽ không thể truy cập thông tin này.”

Sau đó, anh ấy đã lập một trang web có thể cung cấp thông tin về bất kỳ ai đã truy cập trang web nếu họ đã sử dụng Nametests trong quá khứ. Thông qua trang web đó, anh có thể tải dữ liệu trên ảnh cá nhân, cập nhật trạng thái và bạn bè của khách truy cập.

Social Sweethearts cho biết vấn đề này đã được sửa cho biết vấn đề này đã được sửa sau khi lỗ hổng được điều tra

Cán bộ bảo vệ dữ liệu của công ty, Thomas Schwenke, tuyên bố rằng cuộc điều tra của Social Sweethearts đã phát hiện ra rằng không có bằng chứng nào cho thấy dữ liệu cá nhân của người dùng được tiết lộ cho các bên thứ ba trái phép và không có bằng chứng cho thấy nó đã bị lạm dụng . ”

De Cuekelaire cho biết ông đã báo cáo lỗi ngày 22 tháng 4 và đã được sửa vào ngày 25 tháng 6. Facebook đã đề nghị đơn vị lập trình ra NameTest trả 4.000 đô la cho tiền thưởng, và thay vào đó ông đã yêu cầu công ty tặng nó cho Tổ chức Tự do Báo chí. Facebook đã trả thêm để số tiền quyên góp lên tới 8.000 đô la.

Lỗ hổng này làm nói lên các vấn đề của Facebook với các ứng dụng của bên thứ ba, ngay cả khi mạng xã hội xem xét việc khóa chúng sau khi lạm dụng dữ liệu từ Cambridge Analytica. Facebook đã xóa khoảng 200 ứng dụng trong quá trình điều tra lạm dụng dữ liệu của mình, nhưng các lỗ hổng bảo mật vẫn tiếp tục xuất hiện.

Bài gốc:

Popular Facebook quiz app exposed data on more than 120 million users – CNET

This popular Facebook app publicly exposed your data for years – Medium

Người dịch: Nguyễn Anh Kiệt

 

 

 

Hits: 1302