一位安全研究人员Inti de Cuekelaire发现,Facebook上的一个流行测试应用“nametest”存在一个严重漏洞,即使应用程序被删除之后,任何人也都可以提取超过1.2亿人的个人信息。
Inti de Cuekelaire在文章中写到:他注意到自己上传到Nametest上的个人信息并没有受到任何加密或安全保护,在加载个性测试时,网站会从http://nametests.com/appconfig_user获取他的所有个人信息并将其显示出来,其中包括他的姓名、国籍、生日、性别和年龄。“我很震惊地发现,这些数据对任何有相关请求的第三方都是可以公开获取的,”de Cuekelaire说道,“正常情况下,其他网站是不能获得这些信息的。”
为了进行验证,他建立了一个能够连接到Nametests的网站,所有曾经使用过Nametest的人在访问这个网站时的信息都可被他获取。通过这个网页,他就能够得到访客的好友、私人照片、状态更新等信息。
de Cuekelaire还发现,即使删除应用,用户信息仍然会被暴露。由于没有注销功能,所以用户不得不手动删除设备上的cookie以防止数据泄漏。
这个漏洞突出了Facebook在第三方应用方面的问题。Facebook已经在数据滥用调查中删除了大约200个应用,但是隐私缺陷仍然在持续浮出水面。Facebook表示,没有证据表明用户个人数据被泄漏给了未经授权的第三方,并且也没有证据表明这些数据已被滥用。
据悉,deCuekelaire是在4月22日报告了这个漏洞,而修复工作则是在两个月之后的6月25日才完成的。