ハッカーはFacebookのクイズはまだ危険だと言います

歴史は繰り返す傾向があります。Cambridge Analyticaの数か月後、1億2,000万人のFacebookユーザーが、クイズ会社が名前、性別、さらには写真などのデータを簡単にアクセスできるJavascriptに入れた後、悪意のあるWebサイトからデータにアクセスされる可能性があります。Facebookが何百ものサードパーティアプリの監査を続けている間、ハッカーのInti De Ceukelaireは、クイズプラットフォームnametests.comのセキュリティの脆弱性によって1億2,000万人のユーザーのデータが公開される可能性があることを共有しました。

ケンブリッジアナリチカのスキャンダルの後、奇妙なことに、キューケラーは彼の最初のFacebookクイズにハッキングスキルを使って、サードパーティのプラットフォームが彼のデータをどのように使用したかを確認することにしました。彼はFacebookの友達で最もよく使用されているプラ​​ットフォームであるnametests.comを使用して、「あなたはどのディズニープリンセスですか?」というクイズに答えました。

彼のハッキングの背景を使用して、Ceukelaireはデータを追跡し、簡単にアクセスできるJavascript内に彼の情報を見つけました。Javascriptのフォーマットは共有されるように設計されています。つまり、テスト後にアクセスしたすべてのサイトがそのデータにアクセスできます。データには、ユーザー名、性別、友達リストなどが含まれます。と共有投稿。

Javascriptの性質上、テストを受けた人はデータリークが発生するために悪意のあるWebサイトにアクセスする必要があるため、この欠陥はプラットフォームの1億2000万人のユーザー全員のデータが侵害されたことを意味しません。ただし、そのデータに簡単にアクセスできることが懸念されていると、Ceukelaire氏は述べています。この種のセキュリティ欠陥で何が起きるかの例として、ポルノサイトが友達リストにアクセスし、その友達リストを使ってユーザーを脅迫の脅威にさらす可能性があると、キュケレール氏は示唆した。

悪意のあるWebページにアクセスすると、最大2か月間データにアクセスできます。nametests.comを削除しても問題は解決しません—ユーザーはデータアクセスを停止するためにデバイスのCookieも削除する必要があります。

FacebookのData Abuse Bountyプログラムの一部として、この脆弱性は修正されました。キュケレールは慈善団体に報酬を寄付しました。Nametestsは、データが悪用されたことを示唆するものは何も見つからなかったと述べており、今後同様のデータ漏洩を回避するために追加のテストを実施したと述べています。また、FacebookはNametestsへのすべてのアクセスを取り消しました。つまり、ユーザーはクイズの使用を続けるには、アプリに再度許可を与える必要があります。

しかし、おそらくさらに困惑するのは、Cambridge Analaticaの後、およびデータ研究者がほとんどのFacebookクイズがあなたのデータを追跡するために存在することを示唆した後、別のクイズアプリが公開された後でも、オンラインクイズプラットフォームは月間1億2,000万人のユーザーがいると言うことができることです。他の会社にFacebookデータへのアクセスを許可する価値があるディズニープリンセスを見つけていますか?

すでにクイズに挑戦しますか?セキュリティ設定を調整する方法については、こちらをご覧ください。