Приложение NameTests на Facebook поставило под угрозу данные 120 млн пользователей
Исследователь безопасности Инти Де Кекелайре (Inti De Ceukelaire) обнаружил в социальной сети Facebook приложение, которое в течение нескольких лет позволяло похитить персональные данные нескольких миллионов пользователей.
По словам специалиста, сайт NameTests[.]com, специализирующийся на викторинах, аудитория которого составляет порядка 120 млн пользователей в месяц, использует платформу приложений Facebook для быстрой регистрации.
Как и в случае с любым другим приложением Facebook, регистрация на сайте NameTests позволяет компании получать необходимую информацию о профиле пользователей Facebook. Как выяснил исследователь, сайт с викторинами допускает хищение данных пользователей через другие страницы, открытые в том же браузере.
Уязвимость содержится в web-сайте NameTests, который cуществует с конца 2016 года. В частности, проблема заключается в сохранении пользовательских данных в файле JavaScript. Кекелайре создал вредоносный сайт, с помощью которого смог получить данные пользователей приложения NameTests. Используя простой код, исследователь смог получить имена, фотографии, сообщения и списки друзей посетителей NameTests, принимавщих участие в викторинах.
В настоящее время владельцы сайта уже исправили проблему.
Исследователь опубликовал видео с демонстрацией атаки:
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш