(pcmag.com).- Los “Quiz App en Facebook” exponen accidentalmente datos de 120 millones de usuarios. La aplicación de prueba de Nametests.com proporcionó por error una forma para que cualquier sitio web acceda al perfil de Facebook de sus usuarios. Los datos que incluyen nombre, edad, fecha de nacimiento, fotos de Facebook y amigos, estuvieron potencialmente expuestos a la fuga.
¿Qué es Nametests.com?
Es una aplicación de prueba en Facebook que puede decirle por ejemplo, qué princesa de Disney es usted, y ha estado filtrando la información personal de más de 120 millones de usuarios.
La aplicación de prueba de Nametests.com aparentemente estaba almacenando la información personal de sus usuarios de una manera bastante descuidada; los datos circulaban a través de un archivo público de Javascript al que teóricamente podían acceder otros sitios web.
«Me sorprendió ver que esta información estaba a disposición del público para cualquier tercero que la solicitara«, dijo Inti De Ceukelaire, el investigador de seguridad belga que descubrió la filtración de datos.
El miércoles, publicó una publicación de blog que describe cómo el archivo Javascript podría poner en peligro la privacidad de los usuarios de Nametests.com. Un sitio web de terceros podría potencialmente explotar el archivo Javascript para ver cuándo los visitantes entrantes tienen un perfil de Facebook. Si los visitantes lo hacen, el sitio web podría recopilar detalles de los perfiles de Facebook, incluidos el nombre, la edad, la fecha de nacimiento y el sexo.
De Ceukelaire demostró la amenaza creando su propio sitio web que puede obtener datos del archivo Javascript de la aplicación de prueba. Todos los usuarios de la aplicación de prueba que visitaron su sitio web no solo obtendrían sus datos de Facebook recolectados, sino también sus fotos y la lista de amigos.
«Solo haría falta una visita a nuestro sitio web para obtener acceso a la información personal de alguien durante un máximo de dos meses«, escribió en su blog. «Me imagino que no quieres que ningún sitio web sepa quién eres, y mucho menos robar tu información o fotos«.
El incidente fue descubierto ya que Facebook aún enfrenta un retroceso debido al escándalo de Cambridge Analytica , que involucró una aplicación de prueba de personalidad por separado. En ese caso, la aplicación explotó deliberadamente las prácticas de datos de Facebook para recolectar información personal de las personas con fines políticos de orientación publicitaria. Hasta 87 millones de usuarios pueden haber sido afectados.
La pérdida de datos que involucra a Nametest.com no parece ser deliberada. De Ceukelaire especula que la falla puede deberse a un «error de programación de novato». Sin embargo, la exposición de datos ha estado ocurriendo desde al menos el final de 2016.
De Ceukelaire reportó el problema a Facebook en abril a través del nuevo programa de recompensas de errores de la compañía, que fue presentado en respuesta al escándalo de Cambridge Analytica.
«Esta es exactamente la razón por la que lanzamos nuestro Programa Data Abuse Bounty en abril: para recompensar a las personas por informar problemas potenciales«, dijo Facebook en una publicación pública sobre la falla, que la compañía ayudó a reparar.
«Para estar seguros, revocamos los tokens de acceso para todos en Facebook que se han registrado para usar esta aplicación. Por lo tanto, las personas deberán volver a autorizar la aplicación para poder seguir usándola«, agregó Facebook.
Los desarrolladores detrás de Nametests.com, Social Sweethearts, dijeron que tampoco encontraron evidencia de que los malos actores hayan abusado del error.
Sin embargo, De Ceukelaire dijo que todo el incidente plantea serias dudas sobre cómo Social Sweethearts está manejando los datos de sus usuarios. También señaló que Facebook tardó más de dos meses antes de que terminara su investigación y finalmente reparó el error. Durante ese tiempo, las aplicaciones de prueba de Nametests.com todavía estaban en funcionamiento.
«Me alegra que tanto Facebook como NameTests hayan cooperado y hayan resuelto el problema«, dijo en su blog. «Por otro lado, no podemos aceptar que la información de cientos de millones de usuarios se haya filtrado con tanta facilidad. Podemos y debemos hacerlo mejor«.
Para protegerse, De Ceukelaire recomienda que elimine cualquier aplicación de Facebook que ya no esté usando.