专家发现了一个名为 NameTests 的第三方测验应用程序,该应用程序发现了多达 1.2 亿 Facebook 用户的数据。

Nametests.com 上的一个错误暴露了超过 1.2 亿用户在 Facebook 上进行个性化测验的数据,好消息是这个漏洞是 4 月份推出的 Facebook 数据滥用赏金计划的一部分。

该问题存在于 Nametests.com 中,该用户与任何请求它的第三方共享用户数据。

研究人员 Inti De Ceukelaire 报告了这一缺陷,他解释说,在加载性格测试时,该网站会显示从 该网站用户页面 加载的个人信息。

从 Nametests.com 加载的数据包含在 JavaScript 中,这意味着它可以与其他网站共享。

“在正常情况下,其他网站将无法访问此信息。Web 浏览器具有防止这种情况发生的机制。“研究人员在博客文章中写道。

“由于 NameTests 在 JavaScript 文件中显示用户的个人数据,因此几乎任何网站都可以在请求时访问它,”

专家们建立了一个网站,从 Nametests.com 网站上获取有关访客的数据。 反过来,ametests.com 提供了访问令牌,该令牌也可用于访问访问者的帖子,照片和朋友,具体取决于授予的权限。

“NameTests 还会提供一个称为访问令牌的密钥,根据授予的权限,它可用于访问访问者的帖子,照片和朋友。 只需访问我们的网站就可以访问某人的个人信息长达两个月。“De Ceukelaire 补充道。

在专家发布的视频 PoC 下方,显示了即使在删除应用程序后 NameTests 如何显示访问者的身份。

为了防止这种行为,用户必须手动删除其设备上的 cookie。

专家还发现,即使删除了应用程序,用户信息仍将通过网站继续提供。 用户必须手动删除其设备上的 cookie,以防止他们的数据泄露。

该问题已于 4 月 22 日向 Facebook 的数据滥用计划报告,该公司和修复程序于 6 月 25 日推出。

根据 Facebook 的说法,这个漏洞可能 “影响了人们与 nametests.com 分享的 Facebook 信息”,为了应对这一事件,该技术巨头撤销了 Facebook 上已签约使用此应用程序的所有人的访问令牌

“这是由 Inti De Ceukelaire 报道的,我们与该应用程序的开发人员 - Social Sweethearts 合作,以解决他发现的可能影响人们与 nametests.com 共享的 Facebook 信息的网站漏洞 。” Facebook 发布的 一篇文章说。

“为了安全起见,我们撤销了已经注册使用此应用程序的 Facebook 上所有人的访问令牌。 因此人们需要重新授权该应用才能继续使用它。“

Facebook 授予该专家 8,000 美元而不是 4,000 美元的奖金,因为他选择将其捐赠给慈善机构。

“我也得到了 NameTests 的回复。 公共关系团队声称,根据他们的数据和知识,他们没有发现任何第三方滥用的证据。 他们还说,他们已经实施了额外的测试来发现这些错误并在将来避免这些错误,“研究人员总结道。