L’aplicació del concurs de Facebook va exposar les dades de 120 milions de persones durant anys

T'en recordes quan vas fer aquell petit test de Facebook que afirmava revelar 'quin tipus de bellesa tens'?



O aquella divertida aplicació fotogràfica que us va convertir en un model de portada de revistes? O potser aquell test que us va dir quin tipus de personatge “Game of Thrones” us convé?

Admet-ho, heu fet una sèrie d’aquestes proves de Facebook, no?



Aquest tipus de preguntes són alguns dels plaers de culpabilitat més populars del lloc de xarxes socials. Si tots els teus amics de Facebook els prenen, probablement estiguin bé, podríeu pensar.

Doncs bé, l’escàndol de Cambridge Analytica ens va recordar com aquests quizos i aplicacions aparentment inofensives i divertides poden ser cavalls de Troia per a la recollida massiva de dades.



Agafeu aquesta popular aplicació de prova de Facebook de tercers, per exemple. Sembla que ha estat filtrant informació de l’usuari des de fa anys!

Ets un dels 120 milions?

(No, aquest no és un altre qüestionari ximple.)



NameTests, una de les plataformes d’aplicacions més grans de Facebook, ha exposat públicament les dades de fins a 120 milions de persones durant anys, inclosos noms, dates de naixement, fotos i actualitzacions d’estat.

L’investigador en seguretat Inti De Ceukelaire va descobrir el defecte alarmant i ho va denunciar a través del nou de Facebook Programa de recompensa per abús de dades. Nota: Aquest programa es va llançar com a part de la repressió continuada de Facebook per aplicacions abusives de tercers.

Ara, a diferència del cas de Cambridge Analytica, en què el desenvolupador del test compartia voluntàriament les dades amb la firma d’analítica, la filtració de dades de Nametest va ser causada per una incidència al seu lloc web.



Segons les conclusions de De Ceukelaire, cada vegada que algú pren un test NameTests, el seu lloc web obté la informació personal de l'usuari de Facebook i la mostra a una pàgina web.

El problema? Aquesta pàgina estava mal configurada i va permetre a qualsevol persona accedir-hi.

'Em va sorprendre veure que aquestes dades [estaven] a disposició pública de qualsevol tercer que ho sol·licités', va escriure Cuekelaire en una publicació al bloc. 'En una situació normal, altres llocs web no podrien accedir a aquesta informació.'



El qüestionari que va continuar donant

Per demostrar el fàcil que era robar informació personal d'algú a través del lloc web, va configurar la seva pròpia pàgina web que es connectava a NameTests.com i va obtenir les dades de cada visitant.

A través del seu lloc web de proves, va poder recollir fotos privades, llista d'amics, actualitzacions d'estat de cada visitant que ha utilitzat NameTests en el passat, fins i tot després que haguessin suprimit l'aplicació del seu compte de Facebook.



NameTests.com

El lloc web NameTests també proporcionava un testimoni d'accés secret que li permetia accedir a aquesta informació durant un màxim de dos mesos.



Segons De Cuekelaire, el defecte hi ha estat almenys des de finals del 2016 i en funció del nombre d’usuaris mensuals de NameTests, pot haver exposat públicament la informació de més de 120 milions de persones.

Mireu el vídeo següent per veure el funcionament del funcionament del lloc web NameTests:

La resposta de Facebook

Basant-se en la línia de temps de De Cuekelaire, va comunicar el defecte a Facebook el 22 d'abril.

El 25 de juny, es va adonar que NameTests ha solucionat el defecte i que tercers ja no podien accedir a la informació personal dels seus usuaris.

Finalment, el 28 de juny, Facebook va publicar la seva declaració pública oficial sobre el defecte NameTests i va confirmar que la correcció estava efectivament.

Facebook també va revocar les fitxes d'accés de NameTests passades per a tots els usuaris de Facebook que abans van utilitzar l'aplicació.

Per la seva tasca, Facebook va concedir 4.000 dòlars a De Cuekelaire com a part del programa de recompenses d'errors. Va fer donació de l'import a la fundació Freedom of Press, la qual cosa va coincidir ràpidament amb Facebook, portant el total a 8.000 dòlars.

Feu clic aquí per llegir la publicació completa del blog de Cuekelaire a Medium.

Com les aplicacions de tercers de Facebook poden ser perilloses

Com de costum, malgrat la repressió continuada de Facebook, el defecte NameTests és una prova més que les aplicacions de tercers poden exposar la informació sense el vostre coneixement.

Ara, quan feu aquest concurs, aplicació o joc aparentment inofensiu, comproveu-ne els permisos amb diligència. Si sol·liciteu més que la informació pública bàsica, penseu dues vegades abans d’iniciar la sessió i concediu-la accés al vostre perfil de Facebook.

Heu de saber alguna cosa més. Un cop autoritzeu una aplicació de tercers per accedir a les vostres dades de Facebook, pot romandre al vostre perfil per sempre.

Si no auditeu les vostres aplicacions de Facebook de tercers, podran accedir a les vostres dades durant anys sense el vostre coneixement.

Així, en nom de la vostra seguretat, ha arribat el moment de controlar aquestes aplicacions de tercers.