臉書第三方小遊戲可能洩露1.2億用戶資訊

臉書才因一個心理測驗遊戲導致8,700萬筆用戶資料遭濫用的劍橋分析醜聞，安全研究人員又發現另一個姓名測驗遊戲app有漏洞，洩露1.2億名用戶資訊，時間長達一年。所幸漏洞已經修補。

問題出在一家名為Nametest.com開發的姓名遊戲測試「Which Disney Princess Are you」。當使用者載入這個遊戲時，它會收集大量用戶資訊，包括姓名、性別、生日、地點等，並且顯示在其公司網頁上。一般情況下，其他網站應無法存取這些資訊，但是這個網站將訊息包在Javascript中。而Javascript的特性是可以和其他網站共享，因此只要其他網站發出呼叫，用戶的資訊就會分享出去。

研究人員Inti De Ceukelaire首先發現這項漏洞，同時設立了能連結Nametest.com的網站，就拿到了後者訪客的資訊。雪上加霜的是Namestest.com還提供存取憑證，視權限不同可用以存取訪客的臉書貼文、相片和友人資訊。使用者只要造訪Namestest.com網站一次，駭客就能拿到他2個月的個資。更糟的是，即使用戶刪掉app，Nametest.com還是能取得資料。唯一解決就是手動刪除儲存在裝置上的cookies。

經由這個漏洞，廣告商能利用用戶臉書貼文和親友資訊發送精準廣告，歹徒則可蒐集用戶上網習慣、甚至藉機勒索。研究人員分析網頁存檔，顯示這項漏洞至少在2016年底就已存在，雖然Namestests.com網站表示他們是在2017年1月底才加上這個Javascript。

所幸這個漏洞已經修補。De Ceukelaire於4月通報臉書，而Namestests.com網站已在6月修補這項漏洞。

3月間爆發劍橋分析洩露8,700萬名用戶資料的事件後，臉書4月公佈臉書資料濫用類抓漏獎勵方案。本研究就獲得本方案的4,000美元奬金。隨後研究人員將獎金捐出，由臉書加碼一倍捐給了公益團體。