درحالیکه مردم همچنان در حال رسیدگی به بحثبرانگیزترین رسوایی دادهی سال یعنی رسوایی کمبریج آنالیتیکا هستند، برنامهی محبوب کوییز فیسبوک اطلاعات خصوصی بیش از ۱۲۰ میلیون کاربر را افشاء کرد. فیسبوک که اوایل سال جاری با برنامهی کوییز خود مورد بحث قرار گرفته بود، دادههای ۸۷ میلیون کاربر را به یک شرکت مشاورهی سیاسی که گفته میشود در انتخابات ریاست جمهوری سال ۲۰۱۶ میلادی به دونالد ترامپ کمک میکرد، فروخت.
در حال حاضر، یک برنامهی شخص ثالث دیگر که NameTests نام دارد، دادههای بیش از ۱۲۰ میلیون کاربر فیسبوک را افشاء کرده است. وبسایت برنامهی محبوب کوییز به آدرس NameTests [.]com که حدود ۱۲۰ میلیون کاربر ماهانه دارد، از بستر برنامهی فیسبوک برای ارائهی یک راه سریع برای ثبتنام استفاده میکند. ثبتنام در وبسایت NameTests مانند تمام برنامههای فیسبوک، به این شرکت اجازه میدهد تا با رضایت ذاتی، اطلاعات موردنیاز خود در مورد نمایهی کاربر را از فیسبوک بهدست آورد.
با این حال، یک محقق-نفوذگر به نام Inti De Ceukelaire، متوجه شد که وبسایت محبوب کوییز جزئیات مربوط به اطلاعات ورودی کاربر را به وبسایتهای دیگری که در همان مرورگر باز شدهاند، افشاء کرده و به هر وبسایت مخربی اجازهی دسترسی به این دادهها را میدهد. Ceukelaire اعلام کرد که علاقهمند به مشارکت در برنامهی پاداش در ازای اشکالی که اخیرا توسط فیسبوک و بهدنبال رسوایی کمبریج آنالیتیکا راهاندازی شد، میباشد. بنابراین، او به جستجوی برنامههایی پرداخت که دوستانش در فیسبوک نصب کردهاند.
سپس تصمیم گرفت اولین کوییز خود را از طریق برنامهی NameTests بگیرد و همانطور که شروع به بررسی دقیقتر فرایند آزمون کرد، متوجه شد که این وبسایت اطلاعات شخصی وی را از http://nametests[.]com/appconfig_user بهدست آورده و بر روی وبسایت نمایش میدهد. Ceukelaire زمانیکه دادههای شخصی خود را در یک فایل جاوا اسکریپت مشاهده کرد، شوکه شد. این فایل جاوا اسکریپت زمانیکه هر وبسایتی آن را درخواست میکرد، بهراحتی قابلدسترسی بود.
نقص چیست؟ اطلاعات کاربران چگونه افشاء میشود؟
این مسئله ناشی از یک نقص ساده و درعین حال شدید در وبسایت NameTests است که ظاهرا از اواخر سال ۲۰۱۶ میلادی وجود داشته است. ذخیرهی دادههای کاربر در فایل جاوا اسکریپت موجب شده که این وبسایت دادهها را در دسترس سایر وبسایتها قرار دهد، زیرا در غیر این صورت بهدلیل سیاست Cross-Origin Resource Sharing (CORS) مرورگر که وبسایت از خواندن محتوای وبسایتهای دیگر بدون اجازهی صریح خود باز میدارد، این موضوع امکانپذیر نیست.
این محقق امنیتی بهعنوان کد اثبات مفهومی، یک وبسایت مخرب ایجاد کرد که برای استخراج دادههای بازدیدکنندگان با استفاده از این برنامه به NameTests متصل خواهد شد. او توانست با استفاده از یک کد ساده، اسامی، عکسها، پستها و فهرست دوستان هر کسی که در کوییز شرکت میکرد را بهدست آورد. وی نشان داد که وبسایت NameTests حتی پس از حذف برنامه، دادههای شخصی شما را به نمایش میگذارد.
Ceukelaire در تاریخ ۲۲ آوریل این نقص را از طریق برنامهی پاداش در ازای اشکال فیسبوک گزارش داد و پس از یک ماه این رسانهی اجتماعی به وی اطلاع داد که بررسی این موضوع میتواند ۳ تا ۶ ماه طول بکشد. ۲ ماه پس از گزارش اولیهی این موضوع به فیسبوک، Ceukelaire متوجه شد که NameTests این مسئله را وصله کرده و اعلام شد که هیچ مدرکی مبنی بر بهرهبرداری از دادههای افشاء شده توسط شخص ثالثی پیدا نشده است.
در تاریخ ۲۷ ژوئن فیسبوک با Ceukelaire تماس گرفت و به او اطلاع داد که NameTests مسئله را وصله کرده و به درخواست او مبلغ ۸ هزار دلار به بنیاد مطبوعات آزاد پرداخت شد. شرکت آلمانی Social Sweethearts که NameTests را توسعه داده است، ادعا میکند که بیش از ۲۵۰ میلیون کاربر ثبتشده داشته و در هر ماه بیش از ۳ میلیارد بازدید از صفحه دریافت کرده است. این رویداد نشان میدهد که حتی پس از اینکه این غول رسانهی اجتماعی در سال ۲۰۱۵ میلادی شرایط خود را برای برنامههایی که به دادههای این بستر دسترسی دارند، تغییر داد، فیسبوک به اندازهی کافی در مدیریت چنین برنامههایی موفق نبوده است.