Приложение NameTests на Facebook поставило под угрозу данные 120 млн пользователей

Исследователь безопасности Инти Де Кекелайре (Inti De Ceukelaire) обнаружил в социальной сети Facebook приложение, которое в течение нескольких лет позволяло похитить персональные данные нескольких миллионов пользователей.

По словам специалиста, сайт NameTests[.]com, специализирующийся на викторинах, аудитория которого составляет порядка 120 млн пользователей в месяц, использует платформу приложений Facebook для быстрой регистрации.

Как и в случае с любым другим приложением Facebook, регистрация на сайте NameTests позволяет компании получать необходимую информацию о профиле пользователей Facebook. Как выяснил исследователь, сайт с викторинами допускает хищение данных пользователей через другие страницы, открытые в том же браузере.

Уязвимость содержится в web-сайте NameTests, который cуществует с конца 2016 года. В частности, проблема заключается в сохранении пользовательских данных в файле JavaScript. Кекелайре создал вредоносный сайт, с помощью которого смог получить данные пользователей приложения NameTests. Используя простой код, исследователь смог получить имена, фотографии, сообщения и списки друзей посетителей NameTests, принимавщих участие в викторинах.

В настоящее время владельцы сайта уже исправили проблему.

Исследователь опубликовал видео с демонстрацией атаки: