Facebookのクイズアプリが、新たに120万人のユーザーデータ流出の危機

0
104

プライバシー問題で、今年最も炎上した、ケンブリッジアナリストスキャンダル事件がありましたが、新たに、ソーシャルメディアプラットフォーム上で人気のあるクイズアプリが最大1億2,000万人のユーザーの個人データを流出してしまいました。

今回、ネームテストと呼ばれる別のサードパーティ・クイズアプリが、新たに最大1億2,000万人のFacebookユーザーのデータを流出してしまう事件を起こしてしまいました。



Facebookのクイズアプリが、新たに120万人のユーザーデータ流出の危機

「Disney Princess Are You?」のような人気の社会的クイズサービスを提供するNameTests.comは、毎月1億2,000万人の月間ユーザーがおり、Facebookのアプリケーションプラットフォームを使用して迅速な申し込み手段を提供しています。

他のFacebookアプリと同じように、NameTestsウェブサイトにサインアップすると、NameTestsのプロフィールに関する必要な情報をFacebookから取得することができます。

しかし、バグ賞金ハンターであるInti De Ceukelaire氏は、一般的なクイズのウェブサイトでは、ログインしたユーザーの詳細が同じブラウザで開いている他のWebサイトに流出する可能性があるため、悪意のあるWebサイトでそのデータを簡単に取得できるようになってしまうと言います。

Ceukelaire氏は、昨日公開された投稿記事の中で、ケンブリッジ・アナリティッカのスキャンダルを受けて最近Facebookが立ち上げたData Abuse Bounty Programに参加しており、Facebookにさらなる問題がないか調査をしていると言います。

その調査の中で、Ceukelaire氏はFacebook のNameTestsアプリからクイズにいき、テストプロセスを確認したところ、http:// nametests.com / appconfiguserから自分の個人情報を取得していることに気付いたと言います。

Ceukelaire氏は、個人的なデータをJavaScriptファイルで見たときにショックを受けたといいます。そのJavaScriptファイルは、要求時にほとんどのWebサイトから簡単にアクセスできものだと言います。


この問題は、2016年末以降に存在していたと思われるシンプルで深刻なNameTests Webサイトの欠陥に起因しています。

ユーザーデータをJavaScriptファイルに保存すると、Webサイトによって他のWebサイトにデータが流出仕組みになっていまいsた。これは、明示的な許可なく他のWebサイトのコンテンツをWebサイトが閲覧できないようにするブラウザのCross-Origin Resource Sharing(CORS)ポリシーに違反しています。

概念の証明として、CeukelaireはNameTestsに接続する悪意のあるWebサイトを開発し、このアプリケーションを使用して訪問者のデータを掘り起こすことに成功しました。シンプルなコードを使って、クイズに参加した人の名前、写真、投稿、写真、友人のリストを収集することに成功しています。

Ceukelaire氏は、4月22日にFacebookのData Abuse Bounty Programを通じてこの欠陥を報告し、1ヶ月後にFacebookは、この問題を調査するのに3〜6ヶ月かかる可能性があるとコメントしています。

最初にFacebookに問題を報告してから2ヶ月以上が経過した後、Ceukelaire氏はNameTestsがこの問題を修正したことに気づき、第三者による公開データの悪用の兆候は見られなくなったと述べています。

6月27日、FacebookはCeukelaire氏に連絡を取り、NameTestsが問題を修正したことを通知し、彼の要請により、Data Abuse Bounty Programの賞金の一部8,000ドルのをPRの基金に寄付したといいます。

NameTestsを提供しているドイツのSocial Sweethearts社は、登録ユーザーが2億5,000万人を超え、1か月間のページビューは、30億以上に達していると言います。