Poprzedni Następny

NameTests – quiz bramą do profili na Facebook

NameTests – quiz bramą do profili na Facebook

Jedna z aplikacji działających na portalu Facebook tj.  quiz NameTests w niewłaściwy sposób przetwarzała dane jego użytkowników. Program ten służył do prowadzenia popularnych w tym serwisie społecznościowym quizów. O skali problemu niech świadczy sam fakt, że do danych osobowych 120 mln użytkowników miał dostęp praktycznie każdy użytkownik interentu.

Znasz adres NameTests – widzisz dane

Okazuje się, że wystarczyło wpisać w przeglądarkę adres http://nametests.com/appconfig_user, aby dane takie jak imię, nazwisko, data urodzenia, zdjęcia osoby biorącej udział w quizach były wyświetlane na ekranie. Wyniki te zwracane są przez Java skrypt. To z kolei umożliwia pobieranie tych danych z innych web serwerów. 

Dostęp ten jest możliwy nawet 2 miesiące po usunięciu aplikacji. Powód – taki termin ważności tokena pobieranego razem z innymi danymi został określony przez autora. 

Na szczęście dla użytkowników NameTests opisana podatność została już usunięta.

Źródło: Medium.com

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.