Một ứng dụng bài kiểm tra trên Facebook khác phơi bày dữ liệu của 120 triệu người dùng

GIó
9:40 29/06/2018

Người dùng vẫn đang trải qua scandal dữ liệu gây tranh cãi nhất trong năm, vụ tai tiếng liên quan đến Cambridge Analytica, và Facebook lại vướng vào một vấn đề mới sau khi phát hiện ra một ứng dụng bài kiểm tra (quiz app) phổ biến trên nền tảng mạng xã hội đã phơi bày dữ liệu cá nhân của 120 triệu người dùng trong nhiều năm.

Facebook đã gây nhiều tranh cãi vào đầu năm nay về một ứng dụng bài kiểm tra đã bán dữ liệu của 87 triệu người dùng cho một công ty tư vấn chính trị, người đã giúp Donald Trump giành chức chủ tịch Hoa Kỳ vào năm 2016.

Và bây giờ một ứng dụng bài kiểm tra khác của bên thứ ba, có tên là NameTests, bị phát hiện đã phơi bày dữ liệu của 120 triệu người dùng Facebook cho bất kỳ ai tìm thấy nó, một hacker mũ trăng đã tiết lộ.

NameTests[.]Com, trang web đứng đằng sau các câu đố xã hội phổ biến, như "Bạn là công chúa Disney nào?" có khoảng 120 triệu người dùng hàng tháng, sử dụng nền tảng ứng dụng của Facebook để đăng ký tài khoản một cách nhanh chóng.

Giống như những ứng dụng Facebook khác, việc đăng ký trên trang NameTests bằng ứng dụng của họ cho phép công ty tìm nạp thông tin cần thiết về hồ sơ của người dùng từ Facebook, với sự đồng ý một cách tự nhiên.

Tuy nhiên, Inti De Ceukelaire, một hacker, nhận thấy rằng trang web bài kiểm tra này đã tiết lộ thông tin của người dùng đã đăng nhập vào các trang web khác được mở trong cùng một trình duyệt, cho phép bất kỳ trang web độc hại nào lấy dữ liệu đó dễ dàng.

Trong một bài đăng vừa được công bố ngày 27/06/2018, Ceukelaire cho biết: anh thích tham gia vào Chương trình Bounty Data Abuse mà Facebook mới khởi sướng sau vụ bê bối Cambridge Analytica. Vì vậy, anh bắt đầu xem các ứng dụng mà bạn bè của mình trên đã cài đặt Facebook.

Ceukelaire sau đó quyết định tham gia bài kiểm tra đầu tiên của mình thông qua ứng dụng NameTests, và khi anh bắt đầu xem xét kỹ hơn quá trình kiểm tra, anh nhận thấy trang web đã lấy thông tin cá nhân của mình từ "http://nametests [.]com/appconfig_user" và hiển thị chúng trên trang web của họ.

Ceukelaire đã bị sốc khi nhìn thấy dữ liệu cá nhân của mình trong một tệp JavaScript (thực tế là một tệp JSON) có thể dễ dàng được truy cập bởi hầu như bất kỳ trang web nào khi họ yêu cầu.

Lỗ hổng này là gì? Nó làm rò rỉ dữ liệu của người dùng như thế nào?

Vấn đề này là do một lỗ hổng đơn giản nhưng nghiêm trọng trong trang web NameTests dường như đã tồn tại từ cuối năm 2016.

Mặc dù Ceukelaire không đề cập đến vấn đề cụ thể khiến trang web rò rỉ dữ liệu đến các trang web khác, điều này không thể thực hiện được do chính sách chia sẻ tài nguyên gốc (CORS) của trình duyệt ngăn trang web đọc nội dung của các trang web khác mà không được cho phép.

Không mất nhiều thời gian để tìm thấy NameTests bị cấu hình sai chính sách tiêu đề "Access-Control-Allow-Origin" trên trang web của mình, một thiết lập trên máy chủ web xác định liệu dữ liệu trên một tên miền có thể được chia sẻ với nguồn/tên miền khác không.

Chúng tôi nhận thấy rằng chính sách tiêu đề này trên trang NameTests được cấu hình là '*' (ký tự đại diện), cho phép các trang web từ bất kỳ nguồn nào truy cập tài nguyên của NameTests.

Như một bằng chứng về khái niệm (POC), Ceukelaire đã phát triển một trang web độc hại có thể kết nối với NameTests để khai thác dữ liệu của khách truy cập bằng ứng dụng. Sử dụng một đoạn mã đơn giản, anh có thể thu thập tên, ảnh, bài đăng và danh sách bạn bè của bất kỳ ai tham gia bài kiểm tra.

Các hacker khác cũng đã làm một video như là một bằng chứng về những phát hiện của mình, chứng minh cách mà trang NameTests tiết lộ dữ liệu cá nhân của người dùng ngay cả khi đã xoá các ứng dụng.

Ceukelaire đã báo cáo lỗ hổng này thông qua Chương trình Data Abuse Bounty của Facebook vào ngày 22 tháng 4 và hơn một tháng sau đó, các phương tiện truyền thông xã hội thông báo với ông rằng có thể mất từ ba đến sáu tháng để điều tra vấn đề này.

Hơn hai tháng sau khi báo cáo ban đầu vấn đề lên Facebook, Ceukelaire nhận thấy rằng NameTests đã khắc phục vấn đề và nói với anh rằng họ không tìm thấy bằng chứng nào về việc lạm dụng dữ liệu bị phơi bày bởi bất kỳ bên thứ ba nào.

Vào ngày 27 tháng 6, Facebook đã liên lạc với Ceukelaire và thông báo với anh rằng NameTests đã khắc phục vấn đề và theo yêu cầu của anh, đã tặng 8.000 đô la cho Quỹ Tự do Báo chí như một phần của Chương trình Bounty Data Abuse.

Công ty Social Sweethearts của Đức, đứng sau NameTests, tuyên bố có hơn 250 triệu người dùng đã đăng ký và đã đạt hơn 3 tỷ lượt xem trang mỗi tháng.

Sự cố mới nhất cho thấy, ngay cả sau khi gã khổng lồ truyền thông xã hội thay đổi các điều kiện cho các ứng dụng truy cập dữ liệu trên nền tảng của họ vào năm 2015, Facebook không thể hoàn toàn giữ trật tự các ứng dụng như vậy, những ứng dụng có quyền truy cập một lượng đáng kể dữ liệu cá nhân trên nền tảng này.

(Theo The Hacker News)

TIN LIÊN QUAN
Chúc mừng sinh viên ngành An toàn Thông tin, 𝐋𝐞̂ 𝐂𝐨̂𝐧𝐠 𝐇𝐚̂̀𝐮 𝐯𝐚̀ 𝐍𝐡𝐨́𝐦 𝐧𝐠𝐡𝐢𝐞̂𝐧 𝐜𝐮̛́𝐮 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu về Cơ chế xác thực phi tập trung trong Metaverse được thông báo chấp nhận đăng tại Kỷ yếu Hội nghị khoa học quốc tế lần thứ...
Chúc mừng nhóm sinh viên ngành An toàn thông tin - Khoa Mạng máy tính & Truyền thông, 𝗛𝘂𝘆̀𝗻𝗵 𝗧𝗵𝗮́𝗶 𝗧𝗵𝗶 - 𝗡𝗴𝗼̂ Đ𝘂̛́𝗰 𝗛𝗼𝗮̀𝗻𝗴 𝗦𝗼̛𝗻 và 𝗻𝗵𝗼́𝗺 𝗻𝗴𝗵𝗶𝗲̂𝗻 𝗰𝘂̛́𝘂 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu được chấp nhận đăng tại Kỷ yếu Hội nghị khoa học quốc tế...
Nhóm nghiên cứu InSecLab có bài báo đăng tại Hội nghị khoa học quốc tế về An toàn thông tin - ISPEC 2022 Chúc mừng sinh viên ngành Khoa học máy tính, 𝗡𝗴𝘂𝘆𝗲̂̃𝗻 𝗛𝘂̛̃𝘂 𝗤𝘂𝘆𝗲̂̀𝗻 và 𝗻𝗵𝗼́𝗺 𝗻𝗴𝗵𝗶𝗲̂𝗻 𝗰𝘂̛́𝘂 𝐈𝐧𝐒𝐞𝐜𝐋𝐚𝐛 đã có công trình nghiên cứu được chấp nhận đăng...