Clicky

Otra aplicación de test de Facebook dejó expuestos datos de 120 millones de usuarios

NameTests

NameTests guardaba los datos personales en un archivo JavaScript

La gente todavía está superando el escándalo de datos más controvertido del año, es decir, el escándalo de Cambridge Analytica, y Facebook está una vez más bajo fuego después de que una popular aplicación de test en la plataforma de redes sociales expuso durante años los datos privados de hasta 120 millones de usuarios.

Facebook estaba en controversias a principios de este año sobre una aplicación de cuestionario que vendió datos de 87 millones de usuarios a una firma de consultoría política, que supuestamente ayudó a Donald Trump a ganar la presidencia de Estados Unidos en 2016.

Ahora, una aplicación diferente de test de terceros, llamada NameTests, descubrió datos de hasta 120 millones de usuarios de Facebook a cualquier persona que lo encontrara, reveló un hacker ético.

NameTests [.] Com, el sitio web detrás de populares concursos sociales, como "¿Qué Princesa de Disney eres tú?" que tiene alrededor de 120 millones de usuarios mensuales, utiliza la plataforma de aplicaciones de Facebook para ofrecer una forma rápida de registrarse.

Al igual que cualquier otra aplicación de Facebook, registrarse en el sitio web de NameTests usando su aplicación le permite a la compañía obtener la información necesaria sobre su perfil de Facebook, con el consentimiento natural.

Sin embargo, Inti De Ceukelaire, un cazarrecompensas y hacker, descubrió que el popular sitio web de concursos filtra detalles del usuario registrado a los otros sitios web abiertos en el mismo navegador, permitiendo que cualquier sitio web malicioso obtenga fácilmente esos datos.

En un post de Medium publicado ayer, Ceukelaire dijo que le gustaba participar en el programa Data Abuse Bounty que Facebook lanzó recientemente como consecuencia del escándalo de Cambridge Analytica. Entonces, comenzó a mirar las aplicaciones que habían instalado sus amigos en Facebook.

Luego, Ceukelaire decidió realizar su primer cuestionario a través de la aplicación NameTests, y cuando comenzó a observar más de cerca el proceso de prueba, notó que el sitio web estaba obteniendo su información personal desde "http://nametests[.]com/appconfig_user" y mostrándolo en su sitio web.

NameTests javascript

Ceukelaire se sorprendió cuando vio sus datos personales en un archivo JavaScript al que cualquier sitio web podía acceder fácilmente cuando lo solicitaban.

¿Cuál era el defecto? ¿Cómo escaparon los datos de los usuarios?

Este problema se debió a una falla simple pero grave en el sitio web de NameTests que parece haber existido desde finales de 2016.

El almacenamiento de datos de usuario en archivos JavaScript provocó que el sitio web filtrara datos a otros sitios web, lo cual no es posible debido a la política de intercambio de recursos de origen cruzado (CORS) del navegador que impide que un sitio web lea el contenido de otros sitios web sin su permiso explícito.

Como una prueba de concepto, Ceukelaire desarrolló un sitio web malicioso que se conectaría a NameTests para extraer los datos de los visitantes que usaran la aplicación. Utilizando un simple código, fue capaz de recolectar los nombres, fotos, publicaciones, imágenes y listas de amigos de cualquiera que participase en el cuestionario.

El vigilante hacker también hizo un vídeo como prueba de sus hallazgos, demostrando cómo el sitio web NameTests reveló sus datos personales, incluso después de eliminar la aplicación.

Ceukelaire informó el error el 22 de abril a través del Programa de abuso de datos de Facebook, y más de un mes después la red social le informó que podría llevar de tres a seis meses investigar el problema.

Más de dos meses después de informar inicialmente el problema a Facebook, Ceukelaire notó que NameTests solucionó el problema y le dijo que no había encontrado evidencia de abuso de los datos expuestos por parte de un tercero.

El 27 de junio, Facebook contactó a Ceukelaire y le informó que NameTests había resuelto el problema y, a petición suya, donó $ 8.000 a la Freedom of the Press Foundation como parte de su programa Data Abuse Bounty.

La compañía alemana Social Sweethearts, que está detrás de NameTests, afirma tener más de 250 millones de usuarios registrados y ha alcanzado más de 3 mil millones de páginas vistas por mes.

El último incidente muestra que, incluso después de que el gigante de las redes sociales cambió en 2015 sus condiciones para que las aplicaciones accedan a los datos en su plataforma, Facebook no pudo controlar adecuadamente esas aplicaciones que tienen acceso a cantidades sustanciales de datos personales en su plataforma.

Jesus_Caceres