示意圖,與新聞事件無關。

圖片來源: 

臉書

臉書才因一個心理測驗遊戲導致8,700萬筆用戶資料遭濫用的劍橋分析醜聞,安全研究人員又發現另一個姓名測驗遊戲app有漏洞,洩露1.2億名用戶資訊,時間長達一年。所幸漏洞已經修補。

問題出在一家名為Nametest.com開發的姓名遊戲測試「Which Disney Princess Are you」。當使用者載入這個遊戲時,它會收集大量用戶資訊,包括姓名、性別、生日、地點等,並且顯示在其公司網頁上。一般情況下,其他網站應無法存取這些資訊,但是這個網站將訊息包在Javascript中。而Javascript的特性是可以和其他網站共享,因此只要其他網站發出呼叫,用戶的資訊就會分享出去。

研究人員Inti De Ceukelaire首先發現這項漏洞,同時設立了能連結Nametest.com的網站,就拿到了後者訪客的資訊。雪上加霜的是Namestest.com還提供存取憑證,視權限不同可用以存取訪客的臉書貼文、相片和友人資訊。使用者只要造訪Namestest.com網站一次,駭客就能拿到他2個月的個資。更糟的是,即使用戶刪掉app,Nametest.com還是能取得資料。唯一解決就是手動刪除儲存在裝置上的cookies。

經由這個漏洞,廣告商能利用用戶臉書貼文和親友資訊發送精準廣告,歹徒則可蒐集用戶上網習慣、甚至藉機勒索。研究人員分析網頁存檔,顯示這項漏洞至少在2016年底就已存在,雖然Namestests.com網站表示他們是在2017年1月底才加上這個Javascript。

所幸這個漏洞已經修補。De Ceukelaire於4月通報臉書,而Namestests.com網站已在6月修補這項漏洞。

3月間爆發劍橋分析洩露8,700萬名用戶資料的事件後,臉書4月公佈臉書資料濫用類抓漏獎勵方案本研究就獲得本方案的4,000美元奬金。隨後研究人員將獎金捐出,由臉書加碼一倍捐給了公益團體。


Advertisement

更多 iThome相關內容