公告:Facebook涨粉丝网站--Facebook买评论
SNS互联网巨擘Facebook前日涉嫌外泄少于5000万采用者的个人个人隐私,一时之间引起社会舆论争论,创办人丹尼尔.扎克伯格不仅有鉴于此公开致歉,而且亲临美国参议院接受发言。然而谢莱健熙,近日Facebook再曝统计数据性丑闻, 1.2亿采用者遭遇个人隐私外泄信用风险.北京时间6月29日午间消息,一位名为Inti De Ceukelaire的安全研究人员辨认出,Facebook上此款名为NameTests的服务器端评量应用领域存有安全恶意软件,该恶意软件使共约1.2数百万名Facebook采用者的个人个人隐私遭遇外泄信用风险,即使是采用者删掉了此款应用领域,统计数据也依然会被外泄,此种情况已经存有一年多了。NameTests是德国应用领域地产商Social Sweethearts推出了享有盛名的SNS评量,如别的迪斯尼郡主是你?。
Inti De Ceukelaire早在4月份,就向Facebook的统计数据误用赏金(Data Abuse Bounty)计划项目报告了那个难题。Inti De Ceukelaire辨认出,此种恶意软件至少从2016年三季度就存有,外泄的统计数据将包括你的Facebook ID、联系电话、异性恋、出生年月、采用的词汇、采用的货币、facai相片、宣传照相片、采用的设备、最新信息、回帖和状态、相片和朋友。Facebook在5月对服务器端应用领域展开了一次审计工作,其结果是约200个应用领域遭封禁。在牛津预测子公司误用统计数据性丑闻曝出后,Facebook也制止了许多新应用领域加入该互联网平台。不过在今年5月举行的本年度F8开发人员大会上,Facebook又重新对外开放了应用领域审核流程。现在看来,Facebook还遭遇着更多难题。统计数据外泄操作过程在那次的统计数据外泄操作过程中,就是此款名为thisisyourdigitallife的应用领域搜集了5000万Facebook采用者的统计数据,并将统计数据迁移给位于英国伦敦的政治预测子公司Cambridge Analytica。Cambridge Analytica参与了奥巴马项目组的2016年美国总统大选选战,向奥巴马项目组提供了关于投票者的详细资料。这次也一样,Nametests上的一个恶意软件统计数据表明,少于1.2亿采用者在Facebook上展开性格评量。
那个恶意软件存有于Nametests,它与任何允诺它的服务器端共享资源采用者统计数据。Inti De Ceukelaire辨认出,当读取性格试验时,该中文网站会表明从http://nametests.com/appconfig_user读取的个人个人隐私。从http://Nametests.com读取的统计数据被封装在JavaScript中,这意味着它可以与其他中文网站共享资源统计数据。Inti De Ceukelaire 预测到:在正常情况下,其他中文网站将无法访问这些信息。互联网浏览器已经建立了机制来制止此种情况的发生。但由于NameTests是以JavaScript文件表明采用者的个人统计数据,几乎任何中文网站都可以在他们允诺时访问这些信息。为了试验自己想法,Inti De Ceukelaire建立了一个中文网站,从http://Nametests.com中文网站上获取有关访客的统计数据。还有,NameTests提供的访问令牌也可用于访问访问者的回帖、相片和朋友,具体取决于授予的权限。Inti De Ceukelaire补充道:NameTests还会提供一个称为访问令牌的密钥,根据授予的权限,该密钥可用于访问访问者的回帖、相片和朋友。只需要一次访问,性格试验中文网站即可获得长达两个月的个人个人隐私。在专家发布的视频PoC中,表明了即使在删掉应用领域后,NameTests仍然能外泄访问者的身份。Facebook对恶意软件的解决方式自今年3月,因牛津预测事件首次曝出统计数据性丑闻后,Facebook声称5月已经对服务器端应用领域展开了一次审计工作,对约200个应用领域展开了封禁。但现在看来,Facebook的审计工作还不够全面。Inti De Ceukelaire称,他在4月22日就上报了那个难题,但直到8天以后Facebook才作出回应称其正在展开调查。到5月14日,他去查看Facebook是否已经联系过NameTest的开发人员;又过了8天,Facebook才回复称其可能需要3到6个月来展开调查。到6月25日,De Ceukelaire注意到NameTest已经修复那个恶意软件。在与Facebook取得联系后,该子公司承认该恶意软件已被修复,并同意向新闻自由基金会(Freedom of the Press Foundation)捐赠8000美元,以此作为赏金计划的一部分奖金。历时一个月才修复NameTests安全恶意软件的差劲表现,也再次引起了采用者对Facebook统计数据安全的担忧。不过,作为在Facebook互联网平台上运行的恶意软件之一,NameTests在3月份开始的安全性审计工作评量中被漏掉了,尽管Facebook表示它已经在该调查中暂停了200多个应用领域,但显然像NameTests这样的应用领域还多得很。目前,我们暂且理解它是一个审计工作疏忽的结果吧。这也从侧面证明,Facebook互联网平台的整体安全性目前差到何种程度,尤其是当采用者在采用SNS互联网上的服务器端应用领域时。Social Sweethearts的回应Social Sweethearts在一份声明中表示:经过仔细调查,没有证据表明,应用领域流程里的个人统计数据已被外泄,并且更没有证据表明它被误用。尽管如此,我们对统计数据安全非常重视,目前正在采取措施规避未来的信用风险。缓解措施Inti De Ceukelaire还辨认出,即使在删掉应用领域流程后,采用者信息仍可通过中文网站被获取。采用者必须手动删掉其设备上的cookie,以防止他们的统计数据外泄。据Facebook称,该恶意软件可能已经影响了Facebook采用者与http://nametests.com共享资源的信息,为将危害降至最低,Facebook已撤销了Facebook上注册采用此应用领域的所有人的访问令牌。这可能会影响人们与http://nametests.com共享资源的Facebook信息,所以人们需要重新授权应用领域流程才能继续采用它。GDPR对Facebook业务模式的影响挪威消费者委员会(NCC)在4月和5月对Facebook、谷歌和Windows 10展开了预测,辨认出许多默认设置是侵犯个人隐私的,并且有误导性的措辞,以使采用者产生自己在控制的错觉,并隐藏有利于保护个人隐私的选项。该报告辨认出,在《通用统计数据保护条例》(General Data Protection Regulation,GDPR) 5月25日生效前,采用者在访问Facebook和谷歌所提供的软件(如Gmail和YouTube)时,会看到一个弹出窗口,其中表明如果采用者不选择侵犯个人隐私的选项,就会失去软件功能或被删掉账号。
目前,国际个人隐私组织(Privacy International)表示,它将加入NCC,与欧洲和美国的其他消费者和个人隐私组织一起,要求欧洲统计数据保护机构调查这些子公司是否在按照GDPR行事。
本文翻译自:https://securityaffairs.co/wordpress/74009/hacking/nametests-data-leak.html如若转载,请注明原文地址:http://www.4hou.com/info/news/12314.html更多内容请关注嘶吼专业版——Pro4hou
