NameTests har exponerat data från 120 miljoner användare mot internet. Vem som helst har i princip kunnat ladda ner informationen.
- Vem som helst kunde se känslig data om dig via NameTests
- Data sparades okrypterat och åtkomligt
- Sårbarheten tätades först efter flera påtryckningar
- Ingen ska ha påverkats direkt av läckan
Det handlar om data som fullständiga namn, födelsedagar, fotografier och vänlistor. Allt hämtat och lagrat i javascript-filer som inte skyddats på något vis från utomstående.
Självutnämnde hackaren Inti De Ceukelaire var först med att hitta sårbarheten. Han säger att sårbarheten hittades när han började följa trafiken till NameTests och noterade då att tjänsten hämtade information om honom från en specifik adress: http://nametests.com/appconfig_user.
Beroende på vilka frågetävlingar och personlighetstest som respektive person utfört går det att få ut följande information:
- Facebook ID
- Förnamn och efternamn
- Språkinställning
- Kön
- Födelsedag
- Profilbild och omslagsfoto
- Enhetstyperna du använder
- Valutor
- Din inlägg och statusar
- Fotografier och vänner
- När du uppdaterade allt ovanstående senast
Informationen sträcker sig upp till två månader tillbaka i tiden.
Så länge man känner till rätt namn att lägga in i adressen går det att hämta data om personen. Något Inti De Ceukelaire säger sig ha rapporterat direkt till Facebook vid flera tillfällen. Företagets enda respons efter påtryckningar var att de skulle kolla närmare på saken.
Det skulle dröja månader innan företaget bakom NameTests, tyska app-utvecklaren Social Sweethearts, ändrade hur datan hanterades. Samtidigt med det stoppades läckan och tredjepartsåtkomst blev inte längre möjligt.
Ingen ska ha missbrukat datan från NameTests
- Facebook och Social Sweethearts säger att allt är under kontroll
- NameTests kommer inte att blockeras från Facebook
Social Sweethearts säger i ett uttalande till webbsajten TechCrunch att det inte finns några indikationer på att personlig data exponerats mot tredjepart. Eller att någon data missbrukats på något sätt.
”Som dataskyddsansvarig på Social Sweethearts vill jag informera om att vi har undersökt saken noggrant. Undersökningen visar att det inte finns några bevis på att personlig data avslöjats för tredjepart eller missbrukats. Datasäkerhet tas på högsta allvar hos Social Sweethearts och åtgärder görs nu för att undvika framtida risker.”
Facebook säger i sin tur att företaget hanterat problemet via sitt Data Abuse Bounty Program.
I ett uttalande bekräftar Facebook att de fått indikationer från en forskare att det fanns ett problem med webbsajten för nametests.com. Företaget säger också att de har arbetat nära Social Sweethearts för att lösa sårbarheterna på deras webbsajt, vilket gjordes under juni månad.
Visste du att Microsoft har gjort om sin nyhetsapp för Android och iOS? Läs mer här.
Facebook har haft en tuff period där företaget granskats extremt hårt av både politiker och användare. Detta efter den stora skandalen med Cambridge Analytica – ett analytikerföretaget som missbrukade data från fler än 50 miljoner Facebook-användare.
Efter skandalen började Facebook hårdgranska hur olika tjänster samlade in data om företagets användare och blockerade fler än 200 appar från att hämta information från Facebook-användarna. Sannolikt kommer NameTests inte att blockeras eftersom läckan var ett misstag.
Ett tänkbart sätt som datan från NameTests kan användas är att hitta information som utnyttjas av webbsajter för att locka till köp.
Gör aldrig personlighetstest på Facebook
- Hur ofta gör du tester på Facebook?
- Förstår du vilka risker de medför?
Om du brukar göra olika personlighetstest eller frågetävlingar på Facebook så bör du omedelbart sluta med det.
Alla tjänster och appar som glatt vill att du ska göra dessa tester samlar in mycket mer data om dig än de helst vill erkänna. Visserligen inte information som direkt skadar dig som person, eller ekonomiskt. Men som tillsammans med miljontals andra användare blir en bas för olika skumma intressenter.
Dessutom kan du luras att lämna ut betydligt värre saker än din profilbild. Som betalkortsinformation eller personnummer. Och lika otrevligt är malware som kan laddas ner till datorn och infektera den med en hel rad otyg.
Faktum är att du inte bara ska undvika alla former av test på Facebook. Du bör också begränsa hur mycket du lägger in i din profil. Allt som sparas där kan potentiellt laddas ner och spridas av tredjepart.
