Nametests.com, situs web di balik kuis Facebook dengan lebih dari 120 juta pengguna bulanan.

Seorang peretas, Inti De Ceukelaire menerbitkan sebuah artikel di Medium pada hari Rabu yang merinci bagaimana ia menemukan celah keamanan dalam pembuat kuis kepribadian Facebook yang populer.




Setelah skandal Cambridge Analytica, Facebook mengumumkan peluncuran program bounty pada bulan April, yang dirancang untuk memberi imbalan kepada orang-orang karena menemukan penyalahgunaan data oleh pengembang aplikasi.

De Ceukelaire adalah salah satu dari mereka yang mulai menyelidiki, dimulai dengan kuis kepribadian yang dibuat oleh Nametests.com, yang mengklaim memiliki lebih dari 120 juta pengguna.

Dia memperhatikan saat memuat kuis bahwa situs web itu mengambil informasi pribadinya Facebook melalui Nametests, yang berarti datanya tersedia untuk umum kepada pihak ketiga.

De Ceukelaire melakukan tes untuk melihat betapa mudahnya mencuri data pribadi seseorang dengan menyiapkan situs web untuk terhubung ke Nametests.com. Dia memastikan bahwa satu kunjungan ke situs web akan memberikan akses ke data Facebook pribadi seseorang hingga dua bulan. Bahkan jika seseorang menghapus aplikasi, Nametests masih dapat mengungkapkan identitasnya.

Menurut De Ceukelaire, tergantung pada kuis yang diambil pengguna, sejumlah besar data pengguna mungkin telah bocor, termasuk ID Facebook mereka, nama depan, nama belakang, bahasa, jenis kelamin, tanggal lahir, foto profil, foto sampul, mata uang , perangkat yang Anda gunakan, saat informasi terakhir diperbarui, pos dan status, foto, dan teman.

Jika seseorang menghapus aplikasi, ID Facebook mereka, nama depan, nama belakang, bahasa, jenis kelamin, dan tanggal lahir semuanya masih rentan. Dia mencatat satu-satunya cara untuk mencegah ini adalah dengan secara manual menghapus semua cookie Anda.

De Ceukelaire melaporkan bug ini ke Facebook pada 22 April, dan pada 25 Juni dia menyadari Nametests telah memperbaiki celah dalam skenarionya yang memungkinkan pihak ketiga untuk mengakses data. Perbaikan juga diumumkan di halaman Bounty Bug Facebook.

Dalam tulisannya, De Ceukelaire menulis bahwa sementara Nametests memiliki lebih dari 120 juta pengguna aktif bulanan, tidak ada cara untuk mengetahui berapa banyak orang yang dicuri sejak diluncurkan pada tahun 2015. Menurut archive.org, cacat itu telah hadir di kode situs setidaknya sejak akhir tahun 2016, katanya.

Dalam sebuah pernyataan yang dikirim ke Business Insider, Petugas Perlindungan Data untuk pengembang Nametests 'Social Sweethearts' mengatakan: “Investigasi menemukan bahwa tidak ada bukti bahwa data pribadi pengguna telah diungkapkan kepada pihak ketiga yang tidak berwenang dan lebih banyak lagi yang tidak ada bukti bahwa itu telah disalahgunakan."

De Ceukelaire memutuskan untuk menyumbangkan hadiahnya sebesar USD 4.000 kepada Freedom of the Press Foundation, dari USD 8.000 yang diberikan Facebook.

Ime Archibong, wakil presiden Facebook untuk kemitraan produk, mengatakan: “Seorang peneliti membawa masalah ini ke situs web Nametests.com untuk mendapatkan perhatian kami melalui Data Abuse Bounty Program yang kami luncurkan pada bulan April untuk mendorong laporan yang melibatkan data Facebook. Kami bekerja dengan nametests.com untuk menyelesaikan kerentanan di situs web mereka, yang selesai pada bulan Juni.”

(sa, jebejebe.com)
Business Insider

Created at 30 Juni 2018, 00:41:28
Hits 423
Post Related
Jebejebe: Kasus kekerasan seksual meningkat di Inggris yang melibatkan apliaksi kencan online hampir dua kali lipat dalam empat tahun terakhir.
Seorang peretas, Inti De Ceukelaire menerbitkan sebuah artikel di Medium pada hari Rabu yang merinci bagaimana ia menemukan celah keamanan dalam pembuat kuis kepribadian Facebook yang populer.