L'histoire a tendance à se répéter. Des mois après Cambridge Analytica, 120 millions d'utilisateurs de Facebook ont pu voir leurs données accessibles par des sites Web malveillants après qu'une société de quiz ait mis des données telles que le nom, le sexe et même des photos dans un Javascript facilement accessible. Alors que Facebook continue d'auditer des centaines d'applications tierces, le pirate informatique Inti De Ceukelaire a expliqué comment une vulnérabilité de sécurité sur la plate-forme de quiz nametests.com aurait pu exposer les données de 120 millions d'utilisateurs.
Curieux après le scandale Cambridge Analytica, Ceukelaire a décidé de répondre à son tout premier quiz Facebook pour utiliser ses compétences en piratage informatique et voir comment la plateforme tierce utilisait ses données. Il a utilisé une plate-forme la plus utilisée par ses amis Facebook, nametests.com, et a répondu à un quiz: «Quelle princesse Disney êtes-vous?»
Utilisant son expérience de piratage, Ceukelaire a suivi les données et a trouvé ses informations dans un Javascript facilement accessible. Le format de Javascript est conçu pour être partagé, ce qui signifie que tout site que vous visitez après ce test peut accéder à ces données. Les données incluent des éléments tels que le nom d'utilisateur, le sexe, les listes d'amis. et des messages partagés.
La nature de Javascript signifie que quelqu'un qui a passé le test devrait visiter un site Web malveillant pour qu'une fuite de données se produise, donc la faille ne signifie pas que les données des 120 millions d'utilisateurs de la plate-forme ont été compromises. L'accessibilité facile de ces données est toutefois préoccupante, dit Ceukelaire. À titre d'exemple de ce qui pourrait arriver avec ce type de faille de sécurité, un site Web pornographique pourrait accéder à une liste d'amis et utiliser cette liste d'amis pour faire chanter les utilisateurs avec la menace d'une exposition, a suggéré Ceukelaire.
Une fois que vous avez visité cette page Web malveillante, les données seraient accessibles jusqu'à deux mois. La suppression de nametests.com ne résout pas non plus le problème - les utilisateurs doivent également supprimer les cookies sur l'appareil pour arrêter l'accès aux données.
Dans le cadre du programme Data Abuse Bounty de Facebook, la vulnérabilité a maintenant été corrigée; Ceukelaire a fait don de la récompense à une association caritative. Nametests dit qu'il n'a rien trouvé suggérant que les données ont été abusées et qu'il a effectué des tests supplémentaires pour éviter des fuites de données similaires à l'avenir. Facebook a également révoqué tous les accès aux Nametests, ce qui signifie que les utilisateurs devront à nouveau accorder l'autorisation à l'application pour continuer à utiliser les quiz.
Mais ce qui est peut-être encore plus déconcertant, c'est qu'après Cambridge Analatica, et après que les chercheurs de données ont suggéré que la plupart des quiz Facebook existent pour suivre vos données, et après qu'une autre application de quiz a été exposée, les plates-formes de quiz en ligne peuvent encore dire qu'elles comptent 120 millions d'utilisateurs mensuels. Est-ce que savoir quelle princesse Disney vous vaut la peine d'autoriser une autre entreprise à accéder à vos données Facebook?
Vous répondez déjà au quiz? Découvrez comment régler vos paramètres de sécurité ici.