Разработчик тестов для Facebook под брендом NameTests поставил под угрозу личные данные 120 млн пользователей соцсети. Из-за уязвимости в коде в течение нескольких лет эти сведения были открыты для несанкционированного доступа.
Проблему обнаружил независимый исследователь безопасности Инти Де Кекелайре (Inti De Ceukelaire). Он целенаправлено искал возможных нарушителей на платформе Facebook, чтобы получить вознаграждение от компании. Это было в апреле.
Как выяснилось, уязвимость содержалась в коде сайта NameTests, который cуществует с конца 2016 года. В частности, проблема заключалась в сохранении пользовательских данных в файле JavaScript. В результате эти сведения были доступны любому внешнему сайту, который посещали пользователи.
Кроме того, NameTests предоставлял токен, позволяющий получать доступ к ещё большему количеству данных, включая посты пользователя, его фотографии и друзей.
Кекелайре несколько раз сообщал Facebook о проблеме, неделями ожидая ответа. Спустя месяц после первого письма, компания заявила, что расследование этого вопроса может занять от 3 до 6 месяцев. На тот момент тесты NameTests по-прежнему работали в Facebook, а данные пользователей оставались под угрозой утечки. При этом соцсеть знала об этом риске.
25 июня Кекелайре заметил, что NameTests изменил подход к обработке данных пользователей, закрыв доступ к ним для третьих сторон. Два дня спустя Facebook подтвердил это изменение и заверил, что в NameTests устранили проблему.
Родительская компания NameTest, Social Sweathearts, предоставила следующий комментарий:
«Расследование не выявило никаких фактов неавторизированного раскрытия личных данных пользователей третьим сторонам и злоупотребления ими. Тем не менее, мы принимаем меры для того, чтобы избежать подобных рисков в будущем».
Напомним, что в марте Facebook оказался в центре крупного скандала, связанного с утечкой данных 87 млн пользователей в пользу Cambridge Analytica.
В мае издание New Scientist сообщило о возможной утечке данных ещё 3 млн пользователей Facebook, которые проходили тесты популярного приложения myPersonality.
В том же месяце Facebook приостановил работу 200 приложений, уличенных в злоупотреблении персональными данными пользователей.
