O problema reside na app Nametests.com, que partilha os dados dos utilizadores sempre que algum terceiro os solicitar.
A falha foi publicada inicialmente pelos investigadores Inti De Ceukelaire, que explicaram que, ao carregar um teste de personalidade, o website exibe informações pessoais disponibilizadas em http://nametests.com/appconfig_user.
Para agravar o prblema, os dados carregados do Nametests.com são agrupados em JavaScript, o que significa que podem ser partilhados com outros canais/websites.
“In a normal situation, other websites would not be able to access this information. Web browsers have mechanisms in place to prevent that from happening.” the researcher wrote in a blog post.
“Since NameTests displayed their user’s personal data in JavaScript file, virtually any website could access it when they would request it,”
Os investigadores tinham criado um website que era “alimentado” atraés do Nametests.com, e que recolhia alguma informação sobre o visitante. Por sua vez, a ametests.com forneceu o token de acesso que também pode ser usado para obter acesso aos posts, fotos e amigos do visitante, dependendo das permissões concedidas.
“NameTests would also provide a secret key called an access token, which, depending on the permissions granted, could be used to gain access to a visitor’s posts, photos and friends. It would only take one visit to our website to gain access to someone’s personal information for up to two months.” De Ceukelaire added.
O PoC publicado pelo investigador, mostra como o NameTests estava a revelar a identidade do visitante mesmo após a exclusão da aplicação.
Para evitar este comportamento, o utilizador tem que excluir manualmente os cookies nos seus dispositivos. No entanto, o especialista também descobriu que as informações do utilizador continuariam disponíveis no website mesmo depois de ter sido excluídas.
O problema de segurança foi reportado para o programa Data Abuse do Facebook a 22 de abril e foi corrigido no dia 25 de junho de 2018.
De acordo com o Facebook, “o bug afetou pessoas do Facebook que tenham partilhado as suas informações com a app nametests.com”. Em respostas ao incidente o Facebook revogou o acesso a todos os token que subscreveram esse serviço.
“It was reported by Inti De Ceukelaire and we worked with the app’s developer — Social Sweethearts — to address the website vulnerability he identified which could have affected Facebook information people shared with nametests.com.” reads a post published by Facebook.
” To be on the safe side, we revoked the access tokens for everyone on Facebook who has signed up to use this app. So people will need to re-authorize the app in order to continue using it.”
O Facebook premiou o investigador com US $ 8.000, em vez de US $ 4.000, porque ele optou por doá-lo para caridade.
“I also got a response from NameTests. The public relations team claims that, according to the data and knowledge they have, they found no evidence of abuse by a third party. They also state that they have implemented additional tests to find such bugs and avoid them in the future,” the researcher concluded.