Die Facebook-Quiz-App enthüllte über Jahre hinweg die Daten von 120 Millionen Menschen

Erinnerst du dich, als du an diesem kleinen Facebook-Quiz teilgenommen hast, bei dem behauptet wurde, 'welche Art von Schönheit du besitzt'?


Unternehmen im Besitz von Amazon

Oder diese witzige Foto-App, die dich zu einem Magazin-Cover-Model gemacht hat? Oder vielleicht hat Ihnen dieser Test gezeigt, welche Art von „Game of Thrones“ zu Ihnen passt?




Geben Sie zu, Sie haben einige dieser Facebook-Tests durchgeführt, oder?



Tests wie diese gehören zu den beliebtesten Schuldgefühlen auf Social Media-Websites. Wenn alle Ihre Facebook-Freunde sie mitnehmen, ist dies wahrscheinlich in Ordnung.

Nun, der Skandal um Cambridge Analytica hat uns daran erinnert, dass diese scheinbar harmlosen und unterhaltsamen Quiz- und App-Spiele Trojaner für eine massive Datenerfassung sein können.

Nehmen Sie zum Beispiel diese beliebte Facebook-Quiz-App eines Drittanbieters. Es sieht so aus, als ob Benutzerinformationen seit Jahren verloren gehen!

Bist du einer von 120 Millionen?

(Nein, das ist kein weiteres albernes Quiz.)




NameTests, eine der größten Quiz-App-Plattformen von Facebook, veröffentlicht seit Jahren die Daten von bis zu 120 Millionen Menschen, darunter Namen, Geburtsdaten, Fotos und Statusaktualisierungen.

Der Sicherheitsforscher Inti De Ceukelaire entdeckte den alarmierenden Fehler und meldete ihn über das neue Facebook Bounty-Programm für Datenmissbrauch. Hinweis: Dieses Programm wurde im Rahmen des laufenden Vorgehens von Facebook gegen missbräuchliche Apps von Drittanbietern gestartet.

Im Gegensatz zum Fall von Cambridge Analytica, in dem der Quizentwickler die Daten bereitwillig an das Analyseunternehmen weitergab, wurde das Datenleck von Nametest durch einen Fehler auf seiner Website verursacht.

Nach den Erkenntnissen von De Ceukelaire ruft die Website jedes Mal, wenn jemand an einem NameTests-Quiz teilnimmt, die persönlichen Informationen des Facebook-Benutzers ab und zeigt sie auf einer Webseite an.

Das Problem? Diese Seite war schlecht konfiguriert und jeder konnte darauf zugreifen.

'Ich war schockiert zu sehen, dass diese Daten für jeden Dritten, der sie anforderte, öffentlich verfügbar waren', schrieb de Cuekelaire in einem Blogbeitrag. 'Unter normalen Umständen können andere Websites nicht auf diese Informationen zugreifen.'

Das Quiz, das immer wieder gegeben wurde

Um zu beweisen, wie einfach es war, die persönlichen Daten einer Person über die Website zu stehlen, richtete er eine eigene Webseite ein, die mit NameTests.com verbunden war, und holte die Daten zu jedem Besucher.




Über seine Testwebsite konnte er die privaten Fotos, die Freundesliste und Statusaktualisierungen aller Besucher abrufen, die in der Vergangenheit NameTests verwendet haben, auch nachdem sie die App von ihrem Facebook-Konto gelöscht haben.

NameTests.com

Die NameTests-Website bot auch ein geheimes Zugriffstoken, mit dem er bis zu zwei Monate lang auf diese Informationen zugreifen konnte.

Laut de Cuekelaire liegt der Fehler mindestens seit Ende 2016 vor und basierend auf der Anzahl der monatlichen Nutzer von NameTests hat er möglicherweise die Informationen von mehr als 120 Millionen Menschen öffentlich zugänglich gemacht.

Sehen Sie sich das Video unten an, um zu sehen, wie die NameTests-Website funktioniert:

Antwort von Facebook

Basierend auf der Zeitleiste von de Cuekelaire meldete er den Fehler am 22. April bei Facebook.




Am 25. Juni bemerkte er, dass NameTests den Fehler behoben hatte und Dritte nicht mehr auf die persönlichen Daten ihrer Benutzer zugreifen konnten.

Und schließlich hat Facebook am 28. Juni seine offizielle öffentliche Erklärung zum NameTests-Fehler veröffentlicht und bestätigt, dass der Fix tatsächlich vorhanden ist.

Facebook hat außerdem die früheren NameTests-Zugriffstoken für jeden Facebook-Benutzer widerrufen, der die App in der Vergangenheit verwendet hat.

Für seine Bemühungen vergab Facebook 4.000 US-Dollar an de Cuekelaire im Rahmen des Bug Bounty-Programms. Er spendete den Betrag stattdessen an die Freedom of the Press Foundation, die Facebook umgehend auf 8.000 US-Dollar erhöhte.

Klicken Sie hier, um den vollständigen Blogeintrag von de Cuekelaire auf Medium zu lesen.

Wie Facebook-Apps von Drittanbietern gefährlich sein können

Trotz des anhaltenden Vorgehens von Facebook ist der NameTests-Fehler ein weiterer Beweis dafür, dass Apps von Drittanbietern Ihre Informationen ohne Ihr Wissen offenlegen können.




Wenn Sie nun an diesem scheinbar harmlosen Quiz, dieser harmlosen App oder diesem harmlosen Spiel teilnehmen, überprüfen Sie die Berechtigungen sorgfältig. Wenn Sie nach mehr als Ihren grundlegenden öffentlichen Informationen gefragt werden, überlegen Sie zweimal, bevor Sie sich anmelden und diesem Zugriff auf Ihr Facebook-Profil gewähren.

Hier ist noch eine Sache, die Sie wissen müssen. Sobald Sie eine Drittanbieter-App für den Zugriff auf Ihre Facebook-Daten autorisiert haben, bleibt diese für immer in Ihrem Profil.

Wenn Sie Ihre Facebook-Apps von Drittanbietern nicht prüfen, können diese ohne Ihr Wissen jahrelang auf Ihre Daten zugreifen!

Im Namen Ihrer Sicherheit ist es an der Zeit, diese Facebook-Apps von Drittanbietern zu überprüfen.