NameTests – quiz bramą do profili na Facebook
Jedna z aplikacji działających na portalu Facebook tj. quiz NameTests w niewłaściwy sposób przetwarzała dane jego użytkowników. Program ten służył do prowadzenia popularnych w tym serwisie społecznościowym quizów. O skali problemu niech świadczy sam fakt, że do danych osobowych 120 mln użytkowników miał dostęp praktycznie każdy użytkownik internetu.
Znasz adres NameTests – widzisz dane
Okazuje się, że wystarczyło wpisać w przeglądarkę adres http://nametests.com/appconfig_user, aby dane takie jak imię, nazwisko, data urodzenia, zdjęcia osoby biorącej udział w quizach były wyświetlane na ekranie. Wyniki te zwracane są przez Java skrypt. To z kolei umożliwia pobieranie tych danych z innych web serwerów.
Dostęp ten jest możliwy nawet 2 miesiące po usunięciu aplikacji. Powód – taki termin ważności tokena pobieranego razem z innymi danymi został określony przez autora.
Na szczęście dla użytkowników NameTests opisana podatność została już usunięta.
Źródło: Medium.com
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.