بررسی‌ها نشان می‌دهد

یکی دیگر از اپلیکیشن‌های فیس‌بوکی موجب نشت اطلاعات ۱۲۰ میلیون کاربر شده است

در حالی که هنوز مدت زیادی از بزرگترین رسوایی اطلاعاتی سال - رسوایی موسسه کمبریج آنالیتیکا - نگذشته است و همچنان شرکت فیس‌بوک بابت آن مواخذه می‌شود، مشخص شده که اپلیکیشنی محبوب در این شبکه اجتماعی برای چندین سال باعث نشت اطلاعات حدود ۱۲۰ میلیون کاربر شده است.

شرکت فیس‌بوک در اوایل سال جاری به دلیل سوءاستفاده و نشت اطلاعات کاربران به وسیله یک اپلیکیشن‌ پرسش و آزمون (Quiz) به دادگاه‌های مختلفی احضار شد. اپلیکیشنی که اطلاعات ۸۷ میلیون کاربر را به یک شرکت مشاوره سیاسی (Cambridge Analytica) داده بود تا به برنده شدن دونالد ترامپ در انتخابات ریاست جمهوری ایالات متحده کمک کند.

بعد از گذشت چند ماه به‌تازگی یک محقق امنیتی اعلام کرده است که طبق بررسی‌هایی که انجام داده، اپلیکیشن‌های NameTests در فیسبوک، موجب نشت اطلاعات حدود ۱۲۰ میلیون کاربر این شبکه اجتماعی شده است.

 

همه چیز درباره NameTests

تقریبا می‌توان گفت در پشت پرده تمام اپلیکیشن‌های سوال‌های عامه‌پسند، مانند «کدام شاهزاده دیزنی هستید؟» وب‌سایتی با آدرس nametests[.]com قرار دارد که حدود ۱۲۰ میلیون کاربر فعال در ماه دارد.

به گفته شرکت آلمانی سوشیال سویت‌هارتس، مالک NameTests، این مجموعه بیش از ۲۵۰ میلیون کاربر ثبت شده داشته و بیش از ۳ میلیارد بار در ماه از صفحات آن بازدید می‌شود.

این وب‌سایت با استفاده از پلتفرم توسعه فیس‌بوک یک راه سریع برای ثبت‌نام به کاربران ارائه می‌دهد و درست همانند سایر برنامه‌های فیس‌بوکی، از این طریق اطلاعات اولیه مورد نیاز خود را با اجازه کاربر به‌دست می‌آورد.

با این حال، اینتی دوکوکلر، هکر و محقق باگ‌های امنیتی، متوجه شد که وب‌سایت NameTests جزییات اطلاعات حساب‌های کاربران را در دسترس وب‌سایت‌های دیگر که در مرورگر کاربر باز هستند قرار می‌دهد و همین مساله باعث می‌شود وب‌سایت‌ها مخرب به راحتی به داده‌های حساس و مهم کاربران فیسبوک دسترسی پیدا کنند.

دوکوکلر در مطلبی در سایت مدیوم اعلام کرده است که پس از بررسی چندین اپلیکیشن که دوستان او در فیسبوک استفاده می‌کردند، متوجه شده است که اطلاعات او از طریق hxxp[:]//nametests[.]com/appconfig_user فراخوان شده و روی صفحات وب به اشتراک گذاشته می‌شود.

او پس جستجوی بیشتر دریافته است که اطلاعات شخصی کاربر توسط وب‌سایت NameTests در یک فایل جاوا اسکریپت ذخیره می‌شود.

 

نقص NameTests در چیست و چگونه اطلاعات کاربران را نشت می‌دهد؟

نشت اطلاعات در NameTests ناشی از یک نقص ساده و در عین حال شدید در تنظیمات این وب‌سایت است که ظاهرا از سال ۲۰۱۶ به وجود آمده است.

ذخیره داده‌های کاربران در فایل جاوا اسکریپت باعث می‌شود که وب‌سایت NameTests اطلاعات را در دسترس عموم قرار دهد. در عین حال به دلیل عدم رعایت قواعد و تنظیمات اشتراک گذاری منابع (CORS) سایر وب‌سایت‌ها و همینطور وب‌سایت‌های مخرب نیز به راحتی می‌توانند به این محتوا دسترسی پیدا کنند.

برای اثبات این مساله، دوکوکلر یک وب‌‌سایت مخرب آزمایشی ایجاد کرده است که به NameTests متصل شود تا داده‌های کاربران اپلیکیشن‌‌های آن را شناسایی و جمع‌آوری کند. با اندکی تلاش او توانسته است است اسم‌ها، عکس‌ها، پست‌ها و فهرست دوستان هر کاربری که از اپلیکیشن‌ها NameTests استفاده کرده‌اند را به‌دست آورد.

دوکوکلر برای اثبات یافته‌هایش، ویدیویی را تهیه کرده است که نشان می‌دهد وب‌سایت NameTests حتی پس از حذف اپلیکیشن، داده‌های شخصی کاربران را نمایش می‌دهد.

او این نقض امنیتی را پس از شناسایی به شرکت فیسبوک گزارش داده است و به گفته فیسبوک، مدرکی مبنی بر سوءاستفاده از اطلاعات موجود توسط اشخاص ثالث پیدا نشده است. همچنین پس از این گزارش، تیم NameTests مشکلات موجود را رفع کرده است.

 

 

توضیحات بیشتر:

- This popular Facebook app publicly exposed your data for years
- Another Facebook Quiz App Left 120 Million Users' Data Exposed