脸书才因一个心理测验游戏导致8,700万笔用户数据遭滥用的剑桥分析丑闻,安全研究人员又发现另一个姓名测验游戏app有漏洞,泄露1.2亿名用户信息,时间长达一年。所幸漏洞已经修补。
研究人员Inti De Ceukelaire首先发现这项漏洞,同时设立了能连结Nametest.com的网站,就拿到了后者访客的信息。雪上加霜的是Namestest.com还提供存取凭证,视权限不同可用以存取访客的脸书贴文、相片和友人信息。使用者只要造访Namestest.com网站一次,黑客就能拿到他2个月的个资。更糟的是,即使用户删掉app,Nametest.com还是能取得资料。唯一解决就是手动删除储存在装置上的cookies。
经由这个漏洞,广告商能利用用户脸书贴文和亲友信息发送精准广告,歹徒则可搜集用户上网习惯、甚至借机勒索。研究人员分析网页存盘,显示这项漏洞至少在2016年底就已存在,虽然Namestests.com网站表示他们是在2017年1月底才加上这个Javascript。
所幸这个漏洞已经修补。De Ceukelaire于4月通报脸书,而Namestests.com网站已在6月修补这项漏洞。
3月间爆发剑桥分析泄露8,700万名用户数据的事件后,脸书4月公布脸书资料滥用类抓漏奖励方案。本研究就获得本方案的4,000美元奬金。随后研究人员将奖金捐出,由脸书加码一倍捐给了胜博发公益团体。
