Otra aplicación de Facebook deja millones de datos expuestos


Facebook siempre en la mira, si no es por casos como Cambridge Analytica, por temas de privacidad, o en este caso, aplicaciones de terceros.

En este caso la aplicación te hace una serie de preguntas para determinar cual princesa Disney eres tú.

NameTest . com es el sitio que está detrás de este Quiz llamado "Which Disney Princess Are You? y tiene mas de 120 millones de usuarios mensuales. La gran cantidad de usuarios se debe a que posee una facilidad increíble para que los usuarios se registren.

Sin embargo, Inti De Ceukelaire, un bug bounty y hacker, descubrió que el popular sitio web "Quiz" filtra detalles del usuario registrado a los otros sitios web abiertos en el mismo navegador, permitiendo que cualquier sitio web malicioso obtenga esos datos fácilmente.


El investigador decidió hacer el Quiz a través del sitio y haciendo una revisión de cerca del proceso del test, descubrió que el sitio web https:// nametest. com/appconfig_user/ estaba recolectando su información personal.


El almacenar la información del usuario en un archivo en Javascript permitió que la información se filtrara a otros sitios web, lo cual no es posible debido la política de Cross-Origin Resource Sharing (CORS) que previene a un sitio web leer contenido de otros sitios web sin la autorización explicita del usuario.

Como POC Ceukelaire desarrollo una página web maliciosa, para poder extraer la información del sitio NameTest de los visitantes que utilizaran la aplicación. De este modo logró colectar nombres, fotos, publicaciones, imágenes y lista de amigos de cualquiera que participe del cuestionario.

Ceukelaire informó el error a través del Programa de abuso de datos de Facebook el 22 de abril, y más de un mes después las redes sociales le informaron que podría llevar de tres a seis meses investigar el problema.

Más de dos meses después de informar inicialmente el problema a Facebook, Ceukelaire notó que NameTests solucionó el problema y le dijo que no había encontrado evidencia de abuso de los datos expuestos por parte de un tercero.

El 27 de junio, Facebook contactó a Ceukelaire y le informó que NameTests había resuelto el problema y, a petición suya, donó $ 8,000 a la Freedom of the Press Foundation como parte de su programa Data Abuse Bounty.