WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Một ứng dụng quiz trên Facebook làm lộ dữ liệu 120 triệu người dùng
Facebook phải đối mặt với nhiều tranh cãi vào đầu năm nay về một ứng dụng quiz đã bán dữ liệu của 87 triệu người dùng cho một công ty tư vấn chính trị hỗ trợ Donald Trump giành chức Tổng thống Hoa Kỳ vào năm 2016.
Hiện nay, một ứng dụng quiz khác của bên thứ ba, có tên NameTests, được phát hiện tiết lộ dữ liệu của120 triệu người dùng Facebook tới bất kỳ ai vô tình thấy nó, theo tiết lộ của một hacker.
NameTests[.]com, trang web đằng sau các bài quiz phổ biến, như "Bạn là Công chúa nào của Disney?" có khoảng 120 triệu người dùng hàng tháng, sử dụng nền tảng ứng dụng của Facebook để giúp người chơi nhanh chóng đăng nhập.
Giống như bất kỳ ứng dụng Facebook nào khác, việc đăng ký trên trang web NameTests bằng ứng dụng của Facebook cho phép công ty thu thập thông tin cần thiết về profile của bạn từ Facebook, với sự cho phép tự động.
Tuy nhiên, Inti De Ceukelaire, một người tự nhận là hacker, phát hiện trang web của ứng dụng quiz phổ biến này đang tiết lộ thông tin đăng nhập chi tiết của người dùng tới các trang web khác được mở trong cùng một trình duyệt. Điều này cho phép bất kỳ trang web độc hại nào cũng có thể lấy dữ liệu trên dễ dàng.
Trong một bài đăng vừa được công bố ngày 26/6, Ceukelaire cho biết mình có hứng thú tham gia vào Chương trình Phát hiện Lỗi Lạm dụng Dữ liệu (Data Abuse Bounty Program) mà Facebook mới đưa ra sau scandal Cambridge Analytica. Vì vậy, anh ta bắt đầu xem các ứng dụng mà bạn bè của mình trên Facebook đã cài đặt.
Ceukelaire đã bị sốc khi nhìn thấy dữ liệu cá nhân của mình trong một file JavaScript (thực ra là một file JSON) có thể dễ dàng được truy cập bởi hầu như bất kỳ trang web nào khi được yêu cầu.
Lỗ hổng là gì? Cách thức dữ liệu người dùng bị rò rỉ?
Vấn đề là do một lỗ hổng đơn giản nhưng nghiêm trọng trong trang web NameTests, có thể đã tồn tại kể từ cuối năm 2016.
Mặc dù Ceukelaire không đề cập vấn đề cụ thể khiến trang web rò rỉ dữ liệu đến các trang web khác, điều này không thể thực hiện được do Chính sách Chia sẻ Tài nguyên Gốc chéo (CORS) của trình duyệt ngăn trang web đọc nội dung của các trang web khác mà không có sự cho phép.
Không mất nhiều thời gian để tìm thấy việc NameTests thực sự đã cấu hình sai chính sách tiêu đề "Access-Control-Allow-Origin" cho trang web của mình, cài đặt trên máy chủ web xác định liệu dữ liệu trên miền có thể được chia sẻ với nguồn gốc/ tên miền khác.
Để chứng minh, Ceukelaire đã phát triển một trang web độc hại có thể kết nối với NameTests để khai thác dữ liệu của khách sử dụng ứng dụng. Sử dụng mã đơn giản, anh ta có thể thu thập tên, ảnh, bài đăng, hình ảnh và danh sách bạn bè của bất kỳ ai tham gia bài quiz.
Hacker này cũng đã thực hiện một video làm bằng chứng về những phát hiện của mình, chứng minh cách thức trang web NameTests tiết lộ dữ liệu cá nhân của bạn ngay cả sau khi xóa các ứng dụng.
Ceukelaire đã báo cáo lỗ hổng này thông qua Chương trình Trao thưởng Khai thác Dữ liệu của Facebook vào ngày 22/4 và hơn một tháng sau đó, nhận được thông báo từ Facebok về việc có thể mất từ ba đến sáu tháng để điều tra vấn đề này.
Hơn hai tháng sau khi thông báo vấn đề tới Facebook, Ceukelaire nhận thấy NameTests đã khắc phục vấn đề và NameTests cũng thông báo tới Ceukelaire hãng không tìm thấy bất kỳ bằng chứng nào về việc khai thác dữ liệu bị rò rỉ bởi bất kỳ bên thứ ba nào.
Ngày 27/6, Facebook đã liên lạc và thông báo với với Ceukelaire việc NameTests đã khắc phục vấn đề và theo yêu cầu của Ceukelaire, đã đóng góp 8.000 USD cho Quỹ Tự do Báo chí như là một phần của Data Abuse Bounty Program.
Công ty Social Sweethearts của Đức, đứng sau NameTests, tuyên bố có hơn 250 triệu người dùng đã đăng ký và đạt hơn 3 tỷ lượt xem trang mỗi tháng.
Sự cố mới nhất cho thấy, dù Facebook đã thay đổi các điều kiện cho các ứng dụng truy cập dữ liệu trên nền tảng của hãng vào năm 2015, Facebook vẫn không thể kiểm soát đầy đủ các ứng dụng có quyền truy cập vào một lượng dữ liệu cá nhân đáng kể trên nền tảng của công ty này.
Theo Hackernews