Бельгийский хакер Инти де Кукелере сообщил, что в апреле обнаружил крупную уязвимость в приложении для прохождения тестов в фейсбуке Nametests, которым пользуются десятки миллионов человек. По его словам, приложение получало доступ к личным данным пользователей и хранило их в таком виде, что «любая третья сторона могла их запросить». Для проверки своей гипотезы Кукелере создал сайт, который успешно смог получить через Nametests его же личные данные (в том числе, к примеру, фотографии) — причем даже после удаления приложения.
Видео Инти де Кукелере об уязвимости в Nametests
Inti De Ceukelaire
Кукелере утверждает, что занялся изучением уязвимостей после того, как Facebook на фоне утечки данных миллионов пользователей запустил программу поиска неправомерного использования данных за вознаграждение.
По словам хакера, он сообщил о своей находке в Facebook 22 апреля. 30-го ему ответили, что изучают информацию. В середине мая он снова написал в Facebook — и через неделю получил ответ, что на расследование проблемы потребуется от трех до шести месяцев.
25 июня Кукелере, по собственным словам, заметил, что Nametests изменили способ обработки данных, закрыв уязвимость. В самой компании ему заявили, что не знают о случаях ее использования. Хакер написал в Facebook об устранении уязвимости; ему ответили, что это произошло благодаря его обращению, и согласились по его просьбе перевести его вознаграждение (восемь тысяч долларов) организации Freedom of the Press Foundation.
Facebook подтвердил изданию Techcrunch, что после обращения участника программы была устранена уязвимость в приложении Nametests. В компании отказались ответить, почему это заняло так много времени, но указали, что получили первое сообщение от него не 22-го, а 27 апреля.
Читайте также
- Facebook продолжают обвинять в утечках данных пользователей. Компания отбивается как может
- Cambridge Analytica закрывается. Эта компания получила доступ к данным 87 миллионов пользователей фейсбука — чтобы агитировать их за Трампа
- Facebook годами собирал информацию о звонках и СМС пользователей так, что они об этом не догадывались. В соцсети говорят, что все законно