1.媒體來源:
iThome
2.完整新聞標題:
臉書第三方小遊戲可能洩露1.2億用戶資訊
3.完整新聞內文:
一家名為Nametest.com開發的姓名遊戲測試被發現含有漏洞,研究人員發現只要連結
Nametest.com的網站就能拿到訪客的資訊,如姓名、性別、生日、地點、臉書貼文、友人
資訊等等,廣告商可藉此發送精準廣告,歹徒可窺探用戶隱私,伺機勒索。
文/林妍溱 | 2018-06-29發表
臉書才因一個心理測驗遊戲導致8,700萬筆用戶資料遭濫用的劍橋分析醜聞,安全研究人
員又發現另一個姓名測驗遊戲app有漏洞,洩露1.2億名用戶資訊,時間長達一年。所幸漏
洞已經修補。
問題出在一家名為Nametest.com開發的姓名遊戲測試「Which Disney Princess Are you
」。當使用者載入這個遊戲時,它會收集大量用戶資訊,包括姓名、性別、生日、地點等
,並且顯示在其公司網頁上。一般情況下,其他網站應無法存取這些資訊,但是這個網站
將訊息包在Javascript中。而Javascript的特性是可以和其他網站共享,因此只要其他網
站發出呼叫,用戶的資訊就會分享出去。
研究人員Inti De Ceukelaire首先發現這項漏洞,同時設立了能連結Nametest.com的網站
,就拿到了後者訪客的資訊。雪上加霜的是Namestest.com還提供存取憑證,視權限不同
可用以存取訪客的臉書貼文、相片和友人資訊。使用者只要造訪Namestest.com網站一次
,駭客就能拿到他2個月的個資。更糟的是,即使用戶刪掉app,Nametest.com還是能取得
資料。唯一解決就是手動刪除儲存在裝置上的cookies。
經由這個漏洞,廣告商能利用用戶臉書貼文和親友資訊發送精準廣告,歹徒則可蒐集用戶
上網習慣、甚至藉機勒索。研究人員分析網頁存檔,顯示這項漏洞至少在2016年底就已存
在,雖然Namestests.com網站表示他們是在2017年1月底才加上這個Javascript。
所幸這個漏洞已經修補。De Ceukelaire於4月通報臉書,而Namestests.com網站已在6月
修補這項漏洞。
3月間爆發劍橋分析洩露8,700萬名用戶資料的事件後,臉書4月公佈臉書資料濫用類抓漏
獎勵方案。本研究就獲得本方案的4,000美元奬金。隨後研究人員將獎金捐出,由臉書加
碼一倍捐給了公益團體。
4.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/124226
5.備註:
還好我沒用臉書,嘻嘻