1.媒体来源:
iThome
2.完整新闻标题:
脸书第三方小游戏可能泄露1.2亿用户资讯
3.完整新闻内文:
一家名为Nametest.com开发的姓名游戏测试被发现含有漏洞,研究人员发现只要连结
Nametest.com的网站就能拿到访客的资讯,如姓名、性别、生日、地点、脸书贴文、友人
资讯等等,广告商可借此发送精准广告,歹徒可窥探用户隐私,伺机勒索。
文/林妍溱 | 2018-06-29发表
脸书才因一个心理测验游戏导致8,700万笔用户资料遭滥用的剑桥分析丑闻,安全研究人
员又发现另一个姓名测验游戏app有漏洞,泄露1.2亿名用户资讯,时间长达一年。所幸漏
洞已经修补。
问题出在一家名为Nametest.com开发的姓名游戏测试“Which Disney Princess Are you
”。当使用者加载这个游戏时,它会收集大量用户资讯,包括姓名、性别、生日、地点等
,并且显示在其公司网页上。一般情况下,其他网站应无法存取这些资讯,但是这个网站
将讯息包在Javascript中。而Javascript的特性是可以和其他网站共享,因此只要其他网
站发出呼叫,用户的资讯就会分享出去。
研究人员Inti De Ceukelaire首先发现这项漏洞,同时设立了能连结Nametest.com的网站
,就拿到了后者访客的资讯。雪上加霜的是Namestest.com还提供存取凭证,视权限不同
可用以存取访客的脸书贴文、相片和友人资讯。使用者只要造访Namestest.com网站一次
,骇客就能拿到他2个月的个资。更糟的是,即使用户删掉app,Nametest.com还是能取得
资料。唯一解决就是手动删除储存在装置上的cookies。
经由这个漏洞,广告商能利用用户脸书贴文和亲友资讯发送精准广告,歹徒则可蒐集用户
上网习惯、甚至借机勒索。研究人员分析网页存盘,显示这项漏洞至少在2016年底就已存
在,虽然Namestests.com网站表示他们是在2017年1月底才加上这个Javascript。
所幸这个漏洞已经修补。De Ceukelaire于4月通报脸书,而Namestests.com网站已在6月
修补这项漏洞。
3月间爆发剑桥分析泄露8,700万名用户资料的事件后,脸书4月公布脸书资料滥用类抓漏
奖励方案。本研究就获得本方案的4,000美元奖金。随后研究人员将奖金捐出,由脸书加
码一倍捐给了公益团体。
4.完整新闻连结 (或短网址):
https://www.ithome.com.tw/news/124226
5.备注:
还好我没用脸书,嘻嘻