Một ứng dụng bài kiểm tra trên Facebook khác phơi bày dữ liệu của 120 triệu người dùng

GIó
9:40 29/06/2018

Người dùng vẫn đang trải qua scandal dữ liệu gây tranh cãi nhất trong năm, vụ tai tiếng liên quan đến Cambridge Analytica, và Facebook lại vướng vào một vấn đề mới sau khi phát hiện ra một ứng dụng bài kiểm tra (quiz app) phổ biến trên nền tảng mạng xã hội đã phơi bày dữ liệu cá nhân của 120 triệu người dùng trong nhiều năm.

Facebook đã gây nhiều tranh cãi vào đầu năm nay về một ứng dụng bài kiểm tra đã bán dữ liệu của 87 triệu người dùng cho một công ty tư vấn chính trị, người đã giúp Donald Trump giành chức chủ tịch Hoa Kỳ vào năm 2016.

Và bây giờ một ứng dụng bài kiểm tra khác của bên thứ ba, có tên là NameTests, bị phát hiện đã phơi bày dữ liệu của 120 triệu người dùng Facebook cho bất kỳ ai tìm thấy nó, một hacker mũ trăng đã tiết lộ.

NameTests[.]Com, trang web đứng đằng sau các câu đố xã hội phổ biến, như "Bạn là công chúa Disney nào?" có khoảng 120 triệu người dùng hàng tháng, sử dụng nền tảng ứng dụng của Facebook để đăng ký tài khoản một cách nhanh chóng.

Giống như những ứng dụng Facebook khác, việc đăng ký trên trang NameTests bằng ứng dụng của họ cho phép công ty tìm nạp thông tin cần thiết về hồ sơ của người dùng từ Facebook, với sự đồng ý một cách tự nhiên.

Tuy nhiên, Inti De Ceukelaire, một hacker, nhận thấy rằng trang web bài kiểm tra này đã tiết lộ thông tin của người dùng đã đăng nhập vào các trang web khác được mở trong cùng một trình duyệt, cho phép bất kỳ trang web độc hại nào lấy dữ liệu đó dễ dàng.

Trong một bài đăng vừa được công bố ngày 27/06/2018, Ceukelaire cho biết: anh thích tham gia vào Chương trình Bounty Data Abuse mà Facebook mới khởi sướng sau vụ bê bối Cambridge Analytica. Vì vậy, anh bắt đầu xem các ứng dụng mà bạn bè của mình trên đã cài đặt Facebook.

Ceukelaire sau đó quyết định tham gia bài kiểm tra đầu tiên của mình thông qua ứng dụng NameTests, và khi anh bắt đầu xem xét kỹ hơn quá trình kiểm tra, anh nhận thấy trang web đã lấy thông tin cá nhân của mình từ "http://nametests [.]com/appconfig_user" và hiển thị chúng trên trang web của họ.

Ceukelaire đã bị sốc khi nhìn thấy dữ liệu cá nhân của mình trong một tệp JavaScript (thực tế là một tệp JSON) có thể dễ dàng được truy cập bởi hầu như bất kỳ trang web nào khi họ yêu cầu.

Lỗ hổng này là gì? Nó làm rò rỉ dữ liệu của người dùng như thế nào?

Vấn đề này là do một lỗ hổng đơn giản nhưng nghiêm trọng trong trang web NameTests dường như đã tồn tại từ cuối năm 2016.

Mặc dù Ceukelaire không đề cập đến vấn đề cụ thể khiến trang web rò rỉ dữ liệu đến các trang web khác, điều này không thể thực hiện được do chính sách chia sẻ tài nguyên gốc (CORS) của trình duyệt ngăn trang web đọc nội dung của các trang web khác mà không được cho phép.

Không mất nhiều thời gian để tìm thấy NameTests bị cấu hình sai chính sách tiêu đề "Access-Control-Allow-Origin" trên trang web của mình, một thiết lập trên máy chủ web xác định liệu dữ liệu trên một tên miền có thể được chia sẻ với nguồn/tên miền khác không.

Chúng tôi nhận thấy rằng chính sách tiêu đề này trên trang NameTests được cấu hình là '*' (ký tự đại diện), cho phép các trang web từ bất kỳ nguồn nào truy cập tài nguyên của NameTests.

Như một bằng chứng về khái niệm (POC), Ceukelaire đã phát triển một trang web độc hại có thể kết nối với NameTests để khai thác dữ liệu của khách truy cập bằng ứng dụng. Sử dụng một đoạn mã đơn giản, anh có thể thu thập tên, ảnh, bài đăng và danh sách bạn bè của bất kỳ ai tham gia bài kiểm tra.

Các hacker khác cũng đã làm một video như là một bằng chứng về những phát hiện của mình, chứng minh cách mà trang NameTests tiết lộ dữ liệu cá nhân của người dùng ngay cả khi đã xoá các ứng dụng.

Ceukelaire đã báo cáo lỗ hổng này thông qua Chương trình Data Abuse Bounty của Facebook vào ngày 22 tháng 4 và hơn một tháng sau đó, các phương tiện truyền thông xã hội thông báo với ông rằng có thể mất từ ba đến sáu tháng để điều tra vấn đề này.

Hơn hai tháng sau khi báo cáo ban đầu vấn đề lên Facebook, Ceukelaire nhận thấy rằng NameTests đã khắc phục vấn đề và nói với anh rằng họ không tìm thấy bằng chứng nào về việc lạm dụng dữ liệu bị phơi bày bởi bất kỳ bên thứ ba nào.

Vào ngày 27 tháng 6, Facebook đã liên lạc với Ceukelaire và thông báo với anh rằng NameTests đã khắc phục vấn đề và theo yêu cầu của anh, đã tặng 8.000 đô la cho Quỹ Tự do Báo chí như một phần của Chương trình Bounty Data Abuse.

Công ty Social Sweethearts của Đức, đứng sau NameTests, tuyên bố có hơn 250 triệu người dùng đã đăng ký và đã đạt hơn 3 tỷ lượt xem trang mỗi tháng.

Sự cố mới nhất cho thấy, ngay cả sau khi gã khổng lồ truyền thông xã hội thay đổi các điều kiện cho các ứng dụng truy cập dữ liệu trên nền tảng của họ vào năm 2015, Facebook không thể hoàn toàn giữ trật tự các ứng dụng như vậy, những ứng dụng có quyền truy cập một lượng đáng kể dữ liệu cá nhân trên nền tảng này.

(Theo The Hacker News)

TIN LIÊN QUAN
saarCTF là một cuộc thi về an toàn, an ninh thông tin dành cho các đội thi gồm một hoặc nhiều thành viên. Cuộc thi được tổ chức bởi saarsec, đội CTF của Đại học Saarland (nước Đức). saarCTF (Rating weight: 98.50 ) là một cuộc thi CTF dạng tấn...
Nỗ lực vượt qua 2 vòng thi, các thành viên CLB An toàn Thông tin Wanna.W1n thuộc UIT InSecLab đang theo học ngành An toàn thông tin - Khoa Mạng máy tính và Truyền thông đã đạt được những thành tích xuất sắc tại cuộc thi Olympic Mật mã quốc...
Đội tuyển của Trường ĐH Công nghệ thông tin, ĐH Quốc gia TP Hồ Chí Minh) đã xuất sắc giành giải Nhất ở bảng General và giải Nhất ở bảng Student cuộc thi ASEAN Cyber ​​Shield 2024 có tổng trị giá 40.000 USD. Đội tuyển UIT là 2 trong 4...