Hacker sagt, Facebook-Quiz sind immer noch gefährlich

Die Geschichte hat die Tendenz, sich zu wiederholen. Monate nach Cambridge Analytica konnten 120 Millionen Facebook-Nutzer ihre Daten von böswilligen Websites abrufen lassen, nachdem ein Quizunternehmen Daten wie Name, Geschlecht und sogar Fotos in leicht zugängliches Javascript eingefügt hatte. Während Facebook weiterhin Hunderte von Apps von Drittanbietern prüft, teilte der Hacker Inti De Ceukelaire mit, wie eine Sicherheitslücke auf der Quizplattform nametests.com Daten von 120 Millionen Benutzern offengelegt haben könnte.

Nach dem Skandal um Cambridge Analytica neugierig, beschloss Ceukelaire, sein erstes Facebook-Quiz zu absolvieren, um mithilfe seiner Hacking-Fähigkeiten herauszufinden, wie die Plattform eines Drittanbieters seine Daten verwendet. Er nutzte eine Plattform, die am häufigsten von seinen Facebook-Freunden nametests.com genutzt wurde, und nahm an einem Quiz teil: „Welche Disney-Prinzessin bist du?“

Ceukelaire nutzte seinen Hacking-Hintergrund, um den Daten zu folgen und seine Informationen in leicht zugänglichem Javascript zu finden. Das Format von Javascript ist für die gemeinsame Nutzung vorgesehen. Dies bedeutet, dass jede Site, die Sie nach diesem Test besuchen, auf diese Daten zugreifen kann. Die Daten umfassen Dinge wie Benutzername, Geschlecht, Freundeslisten. und geteilte Beiträge.

Die Natur von Javascript bedeutet, dass jemand, der den Test durchgeführt hat, eine schädliche Website besuchen muss, damit ein Datenleck auftritt. Der Fehler bedeutet also nicht, dass die Daten für alle 120 Millionen Benutzer der Plattform kompromittiert wurden. Die leichte Zugänglichkeit dieser Daten sei jedoch besorgniserregend, sagt Ceukelaire. Als Beispiel dafür, was mit dieser Art von Sicherheitslücke passieren könnte, könnte eine pornografische Website auf eine Freundesliste zugreifen und diese Freundesliste verwenden, um Benutzer mit der Gefahr einer Gefährdung zu erpressen, schlug Ceukelaire vor.

Nach dem Besuch dieser schädlichen Webseite sind die Daten bis zu zwei Monate lang verfügbar. Das Löschen von nametests.com löst das Problem ebenfalls nicht. Benutzer müssen auch die Cookies auf dem Gerät löschen, um den Datenzugriff zu stoppen.

Im Rahmen des Data Abuse Bounty-Programms von Facebook wurde die Sicherheitsanfälligkeit jetzt behoben. Ceukelaire spendete die Belohnung für wohltätige Zwecke. Laut Nametests wurden keine Hinweise darauf gefunden, dass die Daten missbraucht wurden, und es wurden zusätzliche Tests durchgeführt, um ähnliche Datenlecks in Zukunft zu vermeiden. Facebook hat außerdem jeglichen Zugriff auf Nametests widerrufen, was bedeutet, dass Benutzer der App erneut die Berechtigung erteilen müssen, um die Tests weiterhin verwenden zu können.

Aber was vielleicht noch beunruhigender ist, ist, dass nach Cambridge Analatica und nachdem Datenforscher vorgeschlagen haben, dass die meisten Facebook-Quiz existieren, um Ihre Daten zu verfolgen, und nachdem eine andere Quiz-App verfügbar gemacht wurde, Online-Quiz-Plattformen immer noch sagen können, dass sie 120 Millionen monatliche Benutzer haben. Finden Sie heraus, welche Disney-Prinzessin es wert ist, einem anderen Unternehmen den Zugriff auf Ihre Facebook-Daten zu ermöglichen?

Nehmen Sie schon am Quiz teil? Hier erfahren Sie, wie Sie Ihre Sicherheitseinstellungen anpassen können.