افشای داده‌های بیش از ۱۲۰ میلیون کاربر توسط برنامه‌ی کوییز فیس‌بوک

 

درحالی‌که مردم همچنان در حال رسیدگی به بحث‌برانگیزترین رسوایی داده‌ی سال یعنی رسوایی کمبریج آنالیتیکا هستند، برنامه‌ی محبوب کوییز فیس‌بوک اطلاعات خصوصی بیش از ۱۲۰ میلیون کاربر را افشاء کرد. فیس‌بوک که اوایل سال جاری با برنامه‌ی کوییز خود مورد بحث قرار گرفته بود، داده‌های ۸۷ میلیون کاربر را به یک شرکت مشاوره‌ی سیاسی که گفته می‌شود در انتخابات ریاست جمهوری سال ۲۰۱۶ میلادی به دونالد ترامپ کمک می‌کرد، فروخت.


در حال حاضر، یک برنامه‌ی شخص ثالث دیگر که NameTests نام دارد، داده‌های بیش از ۱۲۰ میلیون کاربر فیس‌بوک را افشاء کرده است. وب‌سایت برنامه‌ی محبوب کوییز به آدرس NameTests [.]com که حدود ۱۲۰ میلیون کاربر ماهانه دارد، از بستر برنامه‌ی فیس‌بوک برای ارائه‌ی یک راه سریع برای ثبت‌نام استفاده می‌کند. ثبت‌نام در وب‌سایت NameTests مانند تمام برنامه‌های فیس‌بوک، به این شرکت اجازه می‌دهد تا با رضایت ذاتی، اطلاعات موردنیاز خود در مورد نمایه‌ی کاربر را از فیس‌بوک به‌دست آورد.


با این حال، یک محقق-نفوذگر به نام Inti De Ceukelaire، متوجه شد که وب‌سایت محبوب کوییز جزئیات مربوط به اطلاعات ورودی کاربر را به وب‌سایت‌های دیگری که در همان مرورگر باز شده‌اند، افشاء کرده و به هر وب‌سایت مخربی اجازه‌ی دسترسی به این داده‌ها را می‌دهد. Ceukelaire اعلام کرد که علاقه‌مند به مشارکت در برنامه‌ی پاداش در ازای اشکالی که اخیرا توسط فیس‌بوک و به‌دنبال رسوایی کمبریج آنالیتیکا راه‌اندازی شد، می‌باشد. بنابراین، او به جستجوی برنامه‌هایی پرداخت که دوستانش در فیس‌بوک نصب کرده‌اند.
 
سپس تصمیم گرفت اولین کوییز خود را از طریق برنامه‌ی NameTests بگیرد و همان‌طور که شروع به بررسی دقیقتر فرایند آزمون کرد، متوجه شد که این وب‌سایت اطلاعات شخصی وی را از http://nametests[.]com/appconfig_user به‌دست آورده و بر روی وب‌سایت نمایش می‌دهد. Ceukelaire زمانی‌که داده‌های شخصی خود را در یک فایل جاوا اسکریپت مشاهده کرد، شوکه شد. این فایل جاوا اسکریپت زمانی‌که هر وب‌سایتی آن را درخواست می‌کرد، به‌راحتی قابل‌دسترسی بود.

 

نقص چیست؟ اطلاعات کاربران چگونه افشاء می‌شود؟
این مسئله ناشی از یک نقص ساده و درعین حال شدید در وب‌سایت NameTests است که ظاهرا از اواخر سال ۲۰۱۶ میلادی وجود داشته است. ذخیره‌ی داده‌های کاربر در فایل جاوا اسکریپت موجب شده که این وب‌سایت داده‌ها را در دسترس سایر وب‌سایت‌ها قرار دهد، زیرا در غیر این صورت به‌دلیل سیاست Cross-Origin Resource Sharing (CORS) مرورگر که وب‌سایت از خواندن محتوای وب‌سایت‌های دیگر بدون اجازه‌ی صریح خود باز می‌دارد، این موضوع امکان‌پذیر نیست.


این محقق امنیتی به‌عنوان کد اثبات مفهومی، یک وب‌سایت مخرب ایجاد کرد که برای استخراج داده‌های بازدیدکنندگان با استفاده از این برنامه به NameTests متصل خواهد شد. او توانست با استفاده از یک کد ساده، اسامی، عکس‌ها، پست‌ها و فهرست دوستان هر کسی که در کوییز شرکت می‌کرد را به‌دست آورد. وی نشان داد که وب‌سایت NameTests حتی پس از حذف برنامه، داده‌های شخصی شما را به نمایش می‌گذارد.


Ceukelaire در تاریخ ۲۲ آوریل این نقص را از طریق برنامه‌‌ی پاداش در ازای اشکال فیس‌بوک گزارش داد و پس از یک ماه این رسانه‌ی اجتماعی به وی اطلاع داد که بررسی این موضوع می‌تواند ۳ تا ۶ ماه طول بکشد. ۲ ماه پس از گزارش اولیه‌ی این موضوع به فیس‌بوک، Ceukelaire متوجه شد که NameTests این مسئله را وصله کرده و اعلام شد که هیچ مدرکی مبنی بر بهره‌برداری از داده‌های افشاء شده توسط شخص ثالثی پیدا نشده است.


در تاریخ ۲۷ ژوئن فیس‌بوک با Ceukelaire تماس گرفت و به او اطلاع داد که NameTests مسئله را وصله کرده و به درخواست او مبلغ ۸ هزار دلار به بنیاد مطبوعات آزاد پرداخت شد. شرکت آلمانی Social Sweethearts که NameTests را توسعه داده است، ادعا می‌کند که بیش از ۲۵۰ میلیون کاربر ثبت‌شده داشته و در هر ماه بیش از ۳ میلیارد بازدید از صفحه دریافت کرده است. این رویداد نشان می‌دهد که حتی پس از این‌که این غول رسانه‌ی اجتماعی در سال ۲۰۱۵ میلادی شرایط خود را برای برنامه‌هایی که به داده‌های این بستر دسترسی دارند، تغییر داد، فیس‌بوک به اندازه‌ی کافی در مدیریت چنین برنامه‌هایی موفق نبوده است.
 

منبع

پست‌های مشابه

Leave a Comment