18/09/2018, 13:31

Thêm một ứng dụng quiz Facebook làm rò rỉ dữ liệu 120 triệu người dùng

Khi cơn sóng dư luận về vụ bê bối rò rỉ dữ liệu lớn nhất của năm từ Cambridge Analytica còn chưa qua đi thì Facebook lại vướng vào rắc rối với một ứng dụng quiz phổ biến trên các diễn đàn mạng xã hội. Ứng dụng này đã làm rò rỉ dữ liệu cá nhân của gần 120 triệu người dùng qua nhiều năm. Năm nay, ...

Khi cơn sóng dư luận về vụ bê bối rò rỉ dữ liệu lớn nhất của năm từ Cambridge Analytica còn chưa qua đi thì Facebook lại vướng vào rắc rối với một ứng dụng quiz phổ biến trên các diễn đàn mạng xã hội. Ứng dụng này đã làm rò rỉ dữ liệu cá nhân của gần 120 triệu người dùng qua nhiều năm.

Năm nay, Facebook đã vướng phải một cuộc tranh luận về việc một ứng dụng quiz của nó đã bán dữ liệu của 87 triệu người dùng cho một văn phòng tư vấn chính trị. Được biết chính họ là kẻ đứng sau sự thành công của Donald Trump trong chiến thắng tranh cử tổng thống năm 2016.

Gần đây, một ứng dụng bên thứ ba mang tên NameTests được tìm thấy đang rò rỉ dữ liệu của gần 120 triệu người dùng trên Facebook.

facebook - ứng dụng quiz rò rỉ dữ liệu cystack

NameTests[.]com, trang web đứng sau những ứng dụng quiz nổi tiếng như “Bạn là công chúa Disney nào?” có đến 120 triệu người dùng mỗi tháng.

Giống như bất cứ ứng dụng nào khác của Facebook, việc đăng nhập vào NameTests sẽ cho phép ứng dụng này thu thập tất cả những thông tin cần thiết về profile trên Facebook.

Tuy nhiên, Inti De Ceukelaire, một người tự nhận là hacker, đã phát hiện ứng dụng quiz phổ biến này đang rò rỉ thông tin đăng nhập của người dùng sang những trang web khác được mở trong cùng một trình duyệt. Điều này cho phép các phần mềm độc hại lấy được dữ liệu vô cùng dễ dàng.

Trong một bài báo được đăng tải gần đây của Medium, Ceukelaire đã nói rằng anh ấy rất hứng thú tham gia vào một Chương trình săn tìm kẻ lạm dụng dữ liệu người dùng có thưởng mà Facebook mới mở ra khi vụ bê bối của Cambridge Analytica. Từ đó, anh ta đã thử tìm kiếm trong các ứng dụng của Facebook mà bạn anh ấy đã tải về.

Ceukerlaire sau đó đã quyết định thử chơi quiz trên ứng dụng NameTests, và khi nhìn kĩ vào trình chạy của nó, anh phát hiện ra trang web này đang thu thập thông tin cá nhân của anh từ đoạn mã “http://nametests[.]com/appconfig_user” và hiển thị trên website của nó.

Ceukelaire đã rất shock khi thấy dữ liệu cá nhân của mình trong file JavaScript dễ dàng bị truy cập bởi bất cứ những trang web nào yêu cầu nó.

Lỗ hổng nằm ở đâu? Nó đã rò rỉ dữ liệu như thế nào?

Vấn đề về một lỗ hổng đơn giản nhưng rất nghiêm trọng trong trang web NameTests này dường như đã tồn tại từ cuối năm 2016.

Việc dữ liệu người dùng được lưu trữ trong file JavaScript đã tạo nên việc rò rỉ giữa các trang web. Điều này vốn dĩ là không thể do chính sách CORS (chính sách chia sẻ tài nguyên gốc chéo) dùng để ngăn chặn các website đọc nội dung của các website khác mà không được cho phép.

Ceukelaire đã phát triển một phần mềm độc hại có thể kết nối với NameTests để thu thập các thông tin người dùng ứng dụng đó như một ví dụ minh họa. Sử dụng một dãy code đơn giản, anh đã thu thập được tên, ảnh và danh sách bạn bè của bất cứ những ai tham gia ứng dụng quiz đó. Anh đã làm một video như một bằng chứng của những gì anh tìm thấy về việc NameTests đã làm rò rỉ thông tin cá nhân ra sao, kể cả khi đã xóa ứng dụng.

Ceukelaire đã báo cáo lỗi này cho Chương trình săn tìm kẻ lạm dụng dữ liệu người dùng của Facebook vào ngày 22/4, và sau 1 tháng, truyền thông báo với anh rằng sẽ phải mất 3 đến 6 tháng để thanh tra vấn đề.

Hai tháng sau khi báo lỗi cho Facebook, Ceukelaire nhận ra NameTests đã chữa được lỗi đó, và theo như yêu cầu của anh, họ đã quyên góp 8000 đô cho tổ chức Freedom of the Press như một phần của Chương trình tìm kẻ lạm dụng dữ liệu người dùng.

Công ty Đức Social Sweetheart – tác giả của NameTests cho biết, có hơn 250 triệu người dùng đăng nhập và có hơn 3 tỷ lượt xem trang mỗi tháng.

Tình tiết mới nhất này đã cho thấy, ngay cả sau khi Facebook thay đổi phương thức thu thập thông tin của ứng dụng trên nền tảng này từ 2015, tập đoàn mạng xã hội khổng lồ này vẫn chưa thể kiểm soát các ứng dụng này trong việc truy cập vào các thông tin cá nhân quan trọng khi chạy trên nền của nó.

THN

0