Facebook-testejä tarjoavasta Nametests.com-palvelusta on löytynyt tietoturva-aukko, joka on mahdollistanut jopa yli 120 miljoonan ihmisen henkilötietojen paljastumisen. Aiheesta uutisoivat muun muassa The Verge, Business Insider ja Techcrunch.
Facebook kohut seuraavat toisiaan. Katso video tuoreimmista paljastauksista kesäkuun alusta!
Nametests.com tunnetaan hauskoista Facebook-testeistä, joissa voi muun muassa selvittää, miltä elokuvatähdeltä näyttää tai mikä Disney-prinsessa on.
Hauskojen testien varjolla Nametests on saanut luvan käyttäjän Facebook-tietoihin. Nyt on paljastunut, että tietoturvapuutteiden takia nämä tiedot ovat olleet kenen tahansa saatavilla suojaamattomina – jopa reilulta sadalta miljoonalta Facebook-käyttäjältä.
Hakkeri huomasi asian
Hakkeri Inti De Ceukelaire huomasi tietoturvapuutteet. Hän alkoi tutkia Nametests.comia Facebookin tietoturvaongelmien tultua julki aiemmin keväällä Cambridge Analytica -skandaalin yhteydessä.
De Ceukelaire huomasi, että Nametestsin testejä ladatessa nettisivu haki hänen henkilökohtaiset Facebook-tietonsa, kuten nimen, syntymäpäivän, kielen, sukupuolen, käytetyt laitteet, kuvat ja kaverilistat.
Tiedot koottiin JavaScript-tiedostoon, joka ei kuitenkaan ollut suojattu ja josta kuka tahansa kolmannen osapuolen edustaja voisi käydä ne varastamassa.
Edes Nametestsin sovelluksen poistaminen ei olisi auttanut ulkopuolisia näkemästä Facebook-tietoja. Vain selaimen evästetietojen poistaminen auttoi estämään tietoihin pääsyn uudelleen.
Ongelma on korjattu
Nametestillä on kuukausittain noin 120 miljoonaa aktiivista käyttäjää. De Ceukelairen mukaan on mahdotonta sanoa, kuinka montaa henkilöä tietovuoto on koskenut, mutta tietoturva-aukko on ollut sivustolla ainakin vuodesta 2016 lähtien.
De Ceukelaire otti yhteyttä Facebookiin asian tiimoilta huhtikuussa. Kesäkuussa Nametests korjasi ongelman sivustolta ja muutti tapaa, jolla se hallinnoi käyttäjädataa.
Saksalainen Social Sweethearts, joka omistaa Nametestsin, sanoi Techcrunchille, ettei ole merkkejä siitä, että tietoja olisi paljastunut kolmansille osapuolille tai että dataa olisi käytetty väärin.
Kritiikkiä Facebookille
Vuoto herättää kuitenkin jälleen kysymyksiä Facebookin kyvystä huolehtia käyttäjiensä tietoturvasta. Sosiaalisen median jätin pitäisi tarkastaa Facebookissa toimivien sovellusten tietoturva.
Nametests.com on ollut otsikoissa jo aiemminkin epäilyttävistä testeistään. Tietoturvatutkijat ovat muun muassa varoittaneet, ettei voi olla mitenkään varma, mihin omat tiedot testin tekemisen jälkeen päätyvät ja mihin tarkoituksiin.
Lähteet: The Verge, Business Insider, Techcrunch