Приложение NameTests на Facebook поставило под угрозу данные 120 млн пользователей

Приложение NameTests на Facebook поставило под угрозу данные 120 млн пользователей

Уязвимый сайт использует платформу приложений Facebook для быстрой регистрации.

image

Исследователь безопасности Инти Де Кекелайре (Inti De Ceukelaire) обнаружил в социальной сети Facebook приложение, которое в течение нескольких лет позволяло похитить персональные данные нескольких миллионов пользователей.

По словам специалиста, сайт NameTests[.]com, специализирующийся на викторинах, аудитория которого составляет порядка 120 млн пользователей в месяц, использует платформу приложений Facebook для быстрой регистрации.

Как и в случае с любым другим приложением Facebook, регистрация на сайте NameTests позволяет компании получать необходимую информацию о профиле пользователей Facebook. Как выяснил исследователь, сайт с викторинами допускает хищение данных пользователей через другие страницы, открытые в том же браузере.

Уязвимость содержится в web-сайте NameTests, который cуществует с конца 2016 года. В частности, проблема заключается в сохранении пользовательских данных в файле JavaScript. Кекелайре создал вредоносный сайт, с помощью которого смог получить данные пользователей приложения NameTests. Используя простой код, исследователь смог получить имена, фотографии, сообщения и списки друзей посетителей NameTests, принимавщих участие в викторинах.

В настоящее время владельцы сайта уже исправили проблему.

Исследователь опубликовал видео с демонстрацией атаки:

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle