[Cảnh báo] Ứng dụng quiz Facebook để lộ dữ liệu 120 triệu người dùng

July 4, 2018

Mọi người vẫn đang vượt qua scandal dữ liệu gây tranh cãi nhất trong năm, tức là vụ bê bối Cambridge Analytica , Facebook lại bị vướng vào rắc rối khi một ứng dụng quiz đã để lộ dữ liệu cá nhân của 120 triệu người dùng trong nhiều năm.

Năm nay, Facebook đã vướng phải một cuộc tranh luận về việc một ứng dụng quiz của nó đã bán dữ liệu của 87 triệu người dùng cho một văn phòng tư vấn chính trị. Được biết chính họ là kẻ đứng sau sự thành công của Donald Trump trong chiến thắng tranh cử tổng thống năm 2016.

Bây giờ, một ứng dụng bên thứ ba khác, được gọi là NameTests rò rĩ dữ liệu lên tới 120 triệu người dùng Facebook, một hacker đã tiết lộ.

NameTests[.]com, trang web đứng sau những ứng dụng quiz nổi tiếng như “Bạn là công chúa Disney nào?” có đến 120 triệu người dùng mỗi tháng.

Giống như bất kỳ ứng dụng Facebook nào khác, việc đăng ký trên trang web NameTests bằng ứng dụng của họ cho phép công ty tìm lấy thông tin cần thiết về hồ sơ của bạn từ Facebook, với sự đồng ý của bạn.

Tuy nhiên, Inti De Ceukelaire, một người tự nhận là hacker, đã phát hiện ứng dụng quiz phổ biến này đang rò rỉ thông tin đăng nhập của người dùng sang những trang web khác được mở trong cùng một trình duyệt. Điều này cho phép các phần mềm độc hại lấy được dữ liệu vô cùng dễ dàng.

Trong một bài báo được đăng tải gần đây của Medium, Ceukelaire đã nói rằng anh ấy rất hứng thú tham gia vào một Chương trình săn tìm kẻ lạm dụng dữ liệu người dùng có thưởng mà Facebook mới mở ra khi vụ bê bối của Cambridge Analytica. Từ đó, anh ta đã thử tìm kiếm trong các ứng dụng của Facebook mà bạn anh ấy đã tải về.

Ceukerlaire sau đó đã quyết định thử chơi quiz trên ứng dụng NameTests, và khi nhìn kĩ vào trình chạy của nó, anh phát hiện ra trang web này đang thu thập thông tin cá nhân của anh từ đoạn mã “http://nametests[.]com/appconfig_user” và hiển thị trên website của nó.

Ceukelaire đã rất shock khi thấy dữ liệu cá nhân của mình trong file JavaScript dễ dàng bị truy cập bởi bất cứ những trang web nào yêu cầu nó.

 

Lỗ hổng nằm ở đâu? Nó đã rò rỉ dữ liệu như thế nào?

Vấn đề về một lỗ hổng đơn giản nhưng rất nghiêm trọng trong trang web NameTests này dường như đã tồn tại từ cuối năm 2016.

Việc dữ liệu người dùng được lưu trữ trong file JavaScript đã tạo nên việc rò rỉ giữa các trang web. Điều này vốn dĩ là không thể do chính sách CORS (chính sách chia sẻ tài nguyên gốc chéo) dùng để ngăn chặn các website đọc nội dung của các website khác mà không được cho phép.

Ceukelaire đã phát triển một phần mềm độc hại có thể kết nối với NameTests để thu thập các thông tin người dùng ứng dụng đó như một ví dụ minh họa. Sử dụng một dãy code đơn giản, anh đã thu thập được tên, ảnh và danh sách bạn bè của bất cứ những ai tham gia ứng dụng quiz đó. Anh đã làm một video như một bằng chứng của những gì anh tìm thấy về việc NameTests đã làm rò rỉ thông tin cá nhân ra sao, kể cả khi đã xóa ứng dụng.

Ceukelaire đã báo cáo lỗi này cho Chương trình săn tìm kẻ lạm dụng dữ liệu người dùng của Facebook vào ngày 22/4, và sau 1 tháng, truyền thông báo với anh rằng sẽ phải mất 3 đến 6 tháng để thanh tra vấn đề.

Hai tháng sau khi báo lỗi cho Facebook, Ceukelaire nhận ra NameTests đã chữa được lỗi đó, và theo như yêu cầu của anh, họ đã quyên góp 8000 đô cho tổ chức Freedom of the Press như một phần của Chương trình tìm kẻ lạm dụng dữ liệu người dùng.

Công ty Đức Social Sweetheart – tác giả của NameTests cho biết, có hơn 250 triệu người dùng đăng nhập và có hơn 3 tỷ lượt xem trang mỗi tháng.

Tình tiết mới nhất này đã cho thấy, ngay cả sau khi Facebook thay đổi phương thức thu thập thông tin của ứng dụng trên nền tảng này từ 2015, tập đoàn mạng xã hội khổng lồ này vẫn chưa thể kiểm soát các ứng dụng này trong việc truy cập vào các thông tin cá nhân quan trọng khi chạy trên nền của nó.

Theo thehackernews.com