Facebook再曝数据漏洞！1.2亿用户数据面临泄露风险

---

  新智元编译  

来源：TechCrunch、medium

编辑：肖琴、克雷格

【新智元导读】漏洞赏金猎人Inti De Ceukelaire发博客称，Nametests.com的第三方智力竞赛应用让1.2亿Facebook用户的数据面临泄露风险，用户在Facebook上的姓名、出生日期、婚姻状态、好友名单、图片等等信息都可能被滥用。在删除应用后，仍然会显示用户的身份。

在剑桥分析（Cambridge Analytica）的数据滥用丑闻后，Facebook开始进行历史应用审查。然而这次审查捅出了更多问题。

一个名为“NameTests”的第三方应用程序最近被爆存在重大漏洞，1.2亿用户的信息都有可能被泄露。

NameTests测试页面

只要用户注册Nametests.com网站中的任何一款智力竞赛应用，他们在Facebook上的个人数据都会被泄漏。这些数据包括姓名、出生日期、婚姻状态、好友名单、图片等等。即便是用户删除了这些应用，这些数据也依然会被泄漏。

戏剧性的是，在4月底，Facebook加强数据管理，通过自己的“数据滥用漏洞赏金计划”提醒测试类应用（quiz apps）有泄露数据的风险，但过了一个月之后，这些应用仍好好地在Facebook平台上。

直到漏洞赏金猎人Inti De Ceukelaire发现NameTests的问题。

在删除应用后，仍然会显示用户的身份

Nametests是一个智力测试应用，能够根据测试来推断用户更像哪个人物。在加载测试时，网站会提取个人信息并将其显示在网页上。以下是赏金猎人De Ceukelaire的个人信息来源：

http://nametests.com/appconfig_user

理论上，每个网站都可能要求提供这些数据。请注意，这些数据还包括一个“token”，用于访问用户授权应用程序访问的所有数据，例如照片、帖子和朋友。

让De Ceukelaire震惊的是，这些数据已经向任何请求它的第三方公开提供。

在正常情况下，其他网站将无法访问此信息，Web浏览器有适当的机制来防止这种情况发生。然而，在这种情况下，数据被封装在一个叫javascript的东西里，这是此规则的一个例外。

javascript的基本原则之一是它可以与其他网站共享。由于NameTests在javascript文件中显示用户的个人数据，因此几乎任何网站都可以在他们请求时访问它。

NameTests想知道你是谁，所以访问nametests.com/appconfig_user，但任何其他网站也可以这样做。

为了验证它实际上很容易窃取别人的信息，De Ceukelaire建立了一个网站，连接到NameTests并获取关于它的访问者的一些信息。NameTests还会提供一个称为访问token的密钥，根据授予的权限，该密钥可用于访问访问者的帖子、照片和朋友。只需要一次访问De Ceukelaire的网站就可以访问一个人的信息长达两个月。

有视频为证：

正如视频中显示的，即使在删除应用后，NameTests仍然会显示用户的身份。为了防止这种情况发生，用户必须手动删除设备上的Cookie，因为NameTests.com不提供注销功能。

一般用户不想让任何网站知道自己是谁，更不用说窃取用户的信息或照片。如果滥用此漏洞，广告客户可能会根据Facebook帖子和朋友定位（政治）广告。更露骨的网站可能会利用这个漏洞敲诈访问者，威胁要把用户秘密搜索历史泄露给他的朋友。

1.2亿用户面临数据泄露风险

据Facebook称，NameTests拥有超过1.2亿活跃的月度用户。

为了更好地掌握这些测验的覆盖面，De Ceukelaire列出了他们的NameTest本地化Facebook页面列表，其中有超过一百万个喜欢的页面，这是相当可怕的数字。

4月22日，De Ceukelaire第一次向Facebook报告了这一情况。4月30日，他收到了Facebook的初步回复，对方表示他们正在调查（looking into）。

De Ceukelaire在5月14日又发送了一封后续电子邮件，询问Facebook是否已经联系了应用程序开发人员。

直到5月22日，距离De Ceukelaire第一次向Facebook报告问题后的一个月，Facebook回复说可能需要三到六个月的时间来调查这个问题（即他们最初的自动回复中提到的同一时间段）。而NameTests的测验仍在进行中。

一个月后的6月25日，De Ceukelaire说，他注意到NameTests已经改变了它们处理数据的方式，从而关闭了它们暴露给第三方的访问权限。第二天（6月26日），De Ceukelaire与NameTest的数字保护官员联系，回答了有关Facebook漏洞和披露过程的一些问题。

第三天（6月27日），Facebook也证实了这一书面漏洞，并承认：“这可能会让攻击者确定Facebook平台登录用户的详细信息。”

Facebook还告诉他，它们已经和NameTests确认了，这个问题已经解决。它的应用程序仍然可以在Facebook的平台上使用——这表明Facebook没有发现导致它暂停其他第三方应用程序的可疑活动。(至少，假设它进行了调查。)

最后，根据数据滥用漏洞赏金计划(Data Abuse Bounty Program)的条款，Facebook向一家慈善机构支付了4000x2美元的赏金——这也是De Ceukelaire的要求。

审查应用程序是Facebook的品牌公关行为？没有执行力的规则不值得写在纸上

今年，Facebook在“剑桥分析门”之后对历史应用进行审查，扎克伯格说，公司将“调查所有在2014年我们改变平台以大幅减少数据访问之前能够获得大量信息的程序，我们将全面地审查所有应用和可疑的活动。”后来Facebook又启动了数据滥用漏洞赏金计划(Data Abuse Bounty Program)。

在审查期间，Facebook已经暂停了约200个应用程序。直到现在审查仍在进行中，目前也没有关于何时结束审查过程（以及相关的调查）的正式时间表。

在4月底，通过自己的“数据滥用漏洞赏金计划”，Facebook已经被提醒测试类应用（quiz apps）有泄露数据的风险，但过了一个月之后，这些应用仍好好地在Facebook平台上。又过了一个月，这些漏洞才被修复。

TechCrunch认为，你不得不怀疑Facebook的审查是否有用，还是仅是Facebook的一种品牌公关行为。

潜在的问题是，Facebook是否对其平台上运行的应用程序真的进行检查。如果没有任何积极的过程来实施条款与细则（T&C），那么拥有条款与细则就没什么用。没有执行力的规则不值得写在纸上。

历史证据表明，Facebook并没有积极执行其开发人员条款与细则——尽管它现在声称正在“锁定平台”，但隐私丑闻太多。

剑桥分析丑闻中的测验应用程序开发人员Aleksandr Kogan曾收集并销售/倒手Facebook的用户数据给第三方，他指责Facebook基本上没有相关政策。Aleksandr Kogan认为，Facebook要对其平台上发生的大规模数据滥用负责——而到目前为止，也只有一部分被曝光。

剩下的呢？

参考资料：

https://medium.com/@intideceukelaire/this-popular-facebook-app-publicly-exposed-your-data-for-years-12483418eff8

https://techcrunch.com/2018/06/28/facepalm-2/

---

【加入社群】

新智元 AI 技术 + 产业社群招募中，欢迎对 AI 技术 + 产业落地感兴趣的同学，加小助手微信号: aiera2015_3  入群；通过审核后我们将邀请进群，加入社群后务必修改群备注（姓名 - 公司 - 职位；专业群审核较严，敬请谅解）。