Historien har en tendens til å gjenta seg. Måneder etter Cambridge Analytica kunne 120 millioner Facebook-brukere få tilgang til dataene sine fra ondsinnede nettsteder etter at et quizfirma hadde lagt inn data som navn, kjønn og til og med bilder i lett tilgjengelig Javascript. Da Facebook fortsetter å revidere hundrevis av tredjepartsapper, delte hackeren Inti De Ceukelaire hvordan et sikkerhetsproblem på quizplattformen nametests.com kunne ha utsatt data for 120 millioner brukere.
Ceukelaire var nysgjerrig etter Cambridge Analytica-skandalen og bestemte seg for å ta sin aller første Facebook-quiz for å bruke hackingferdighetene sine for å se hvordan tredjepartsplattformen brukte dataene sine. Han brukte en plattform som ble brukt mest av Facebook-vennene sine, nametests.com, og tok en quiz: "Hvilken Disney-prinsesse er du?"
Ved å bruke sin hackingsbakgrunn fulgte Ceukelaire dataene og fant informasjonen hans i lett tilgjengelig Javascript. Javascript-formatet er designet for å deles, noe som betyr at ethvert nettsted du besøker etter den testen kunne få tilgang til dataene. Dataene inkluderer ting som brukernavn, kjønn, vennelister. og delte innlegg.
Naturen til Javascript betyr at noen som tok testen måtte besøke et ondsinnet nettsted for at det skulle oppstå datalekkasje, så feilen betyr ikke at data for alle 120 millioner brukere av plattformen ble kompromittert. Den enkle tilgjengeligheten av disse dataene er imidlertid bekymrende, sier Ceukelaire. Som et eksempel på akkurat hva som kan skje med den typen sikkerhetsfeil, kan et pornografisk nettsted få tilgang til en venneliste og bruke den vennelisten til å utpresse brukere med trussel om eksponering, foreslo Ceukelaire.
Når du har besøkt den ondsinnede nettsiden, vil data være tilgjengelig i opptil to måneder. Slette nametests.com løser heller ikke problemet - brukere må også slette informasjonskapslene på enheten for å stoppe datatilgangen.
Som en del av Facebooks Data Abuse Bounty-program er sårbarheten nå rettet; Ceukelaire donerte belønningen til veldedighet. Nametests sier at det ikke fant noe som tyder på at dataene ble misbrukt, og sier at det ble lagt inn flere tester for å unngå lignende datalekkasjer i fremtiden. Facebook tilbakekalte også all tilgang til Nametests, noe som betyr at brukerne må gi appen tillatelse igjen for å fortsette å bruke quizene.
Men kanskje det som er enda mer foruroligende, er at etter Cambridge Analatica, og etter at dataforskere antydet at de fleste Facebook-spørrekonkurranser eksisterer for å spore dataene dine, og etter at en annen quiz-app ble avslørt, kan online quizplattformer fremdeles si at de har 120 millioner brukere hver måned. Finner du ut hvilken Disney-prinsesse du er verdt å la et annet selskap få tilgang til Facebook-dataene dine?
Allerede ta quizen? Finn ut hvordan du justerer sikkerhetsinnstillingene dine her.
