收藏本站 设为首页

一个名为“NameTests”的第三方应用程序最近被爆存在重大漏洞

编辑:admin 日期:2021-09-19 16:21 分类:地方资讯 点击:
简介:海南赛马概念套路深:一篇网文换来涨停后秒删300亿小镇靠想象 能斯特方程与前提电势[精彩] ,ca)的数据滥用丑闻后,Facebook开始进行历史应用审查。然而这次审查捅出了更多问题。 一个名为NameTests的第三方应用程序最近被爆存在重大漏洞,1.2亿用户的信息

  海南赛马概念套路深:一篇网文换来涨停后秒删300亿小镇靠想象能斯特方程与前提电势[精彩],ca)的数据滥用丑闻后,Facebook开始进行历史应用审查。然而这次审查捅出了更多问题。

  一个名为“NameTests”的第三方应用程序最近被爆存在重大漏洞,1.2亿用户的信息都有可能被泄露。

  只要用户注册网站中的任何一款智力竞赛应用,他们在Facebook上的个人数据都会被泄漏。这些数据包括姓名、出生日期、婚姻状态、好友名单、图片等等。即便是用户删除了这些应用,这些数据也依然会被泄漏。

  戏剧性的是,在4月底,Facebook加强数据管理,通过自己的“数据滥用漏洞赏金计划”提醒测试类应用(quiz apps)有泄露数据的风险,但过了一个月之后,这些应用仍好好地在Facebook平台上。

  Nametests是一个智力测试应用,能够根据测试来推断用户更像哪个人物。在加载测试时,网站会提取个人信息并将其显示在网页上。以下是赏金猎人De Ceukelaire的个人信息来源:

  理论上,每个网站都可能要求提供这些数据。请注意,这些数据还包括一个“token”,用于访问用户授权应用程序访问的所有数据,例如照片、帖子和朋友。

  让De Ceukelaire震惊的是,这些数据已经向任何请求它的第三方公开提供。

  在正常情况下,其他网站将无法访问此信息,Web浏览器有适当的机制来防止这种情况发生。然而,在这种情况下,数据被封装在一个叫javascript的东西里,这是此规则的一个例外。

  javascript的基本原则之一是它可以与其他网站共享。由于NameTests在javascript文件中显示用户的个人数据,因此几乎任何网站都可以在他们请求时访问它。

  为了验证它实际上很容易窃取别人的信息,De Ceukelaire建立了一个网站,连接到NameTests并获取关于它的访问者的一些信息。NameTests还会提供一个称为访问token的密钥,根据授予的权限,该密钥可用于访问访问者的帖子、照片和朋友。只需要一次访问De Ceukelaire的网站就可以访问一个人的信息长达两个月。

  即使在删除应用后,NameTests仍然会显示用户的身份。为了防止这种情况发生,用户必须手动删除设备上的Cookie,因为NameTests.com不提供注销功能。

  一般用户不想让任何网站知道自己是谁,更不用说窃取用户的信息或照片。如果滥用此漏洞,广告客户可能会根据Facebook帖子和朋友定位(政治)广告。更露骨的网站可能会利用这个漏洞敲诈访问者,威胁要把用户秘密搜索历史泄露给他的朋友。

  为了更好地掌握这些测验的覆盖面,De Ceukelaire列出了他们的NameTest本地化Facebook页面列表,其中有超过一百万个喜欢的页面,这是相当可怕的数字。

  De Ceukelaire在5月14日又发送了一封后续电子邮件,询问Facebook是否已经联系了应用程序开发人员。

  直到5月22日,距离De Ceukelaire第一次向Facebook报告问题后的一个月,Facebook回复说可能需要三到六个月的时间来调查这个问题(即他们最初的自动回复中提到的同一时间段)。而NameTests的测验仍在进行中。

  一个月后的6月25日,De Ceukelaire说,他注意到NameTests已经改变了它们处理数据的方式,从而关闭了它们暴露给第三方的访问权限。第二天(6月26日),De Ceukelaire与NameTest的数字保护官员联系,回答了有关Facebook漏洞和披露过程的一些问题。

  第三天(6月27日),Facebook也证实了这一书面漏洞,并承认:“这可能会让攻击者确定Facebook平台登录用户的详细信息。”

  Facebook还告诉他,它们已经和NameTests确认了,这个问题已经解决。它的应用程序仍然可以在Facebook的平台上使用——这表明Facebook没有发现导致它暂停其他第三方应用程序的可疑活动。(至少,假设它进行了调查。)

  审查应用程序是Facebook的品牌公关行为?没有执行力的规则不值得写在纸上

  今年,Facebook在“剑桥分析门”之后对历史应用进行审查,扎克伯格说,公司将“调查所有在2014年我们改变平台以大幅减少数据访问之前能够获得大量信息的程序,我们将全面地审查所有应用和可疑的活动。”后来Facebook又启动了数据滥用漏洞赏金计划(Data Abuse Bounty Program)。

  在审查期间,Facebook已经暂停了约200个应用程序。直到现在审查仍在进行中,目前也没有关于何时结束审查过程(以及相关的调查)的正式时间表。

  在4月底,通过自己的“数据滥用漏洞赏金计划”,Facebook已经被提醒测试类应用(quiz apps)有泄露数据的风险,但过了一个月之后,这些应用仍好好地在Facebook平台上。又过了一个月,这些漏洞才被修复。

  TechCrunch认为,你不得不怀疑Facebook的审查是否有用,还是仅是Facebook的一种品牌公关行为。

  潜在的问题是,Facebook是否对其平台上运行的应用程序真的进行检查。如果没有任何积极的过程来实施条款与细则(T&C),那么拥有条款与细则就没什么用。没有执行力的规则不值得写在纸上。

  历史证据表明,Facebook并没有积极执行其开发人员条款与细则——尽管它现在声称正在“锁定平台”,但隐私丑闻太多。

  剑桥分析丑闻中的测验应用程序开发人员Aleksandr Kogan曾收集并销售/倒手Facebook的用户数据给第三方,他指责Facebook基本上没有相关政策。Aleksandr Kogan认为,Facebook要对其平台上发生的大规模数据滥用负责——而到目前为止,也只有一部分被曝光。

  文章出处:【微信号:AI_era,微信公众号:新智元】欢迎添加关注!文章转载请注明出处。

  什么是不可变对象? 属性变更时必须新建对象的对象,如String,已有“String str=‘ab....

  景区生态环境监测站的系统组成介绍FT-FYLZ【风途】负氧离子不仅是衡量大气环境质量的天平,而且本身....

  油脂酸价测定仪【莱恩德】为集成化油品快速检测分析设备,能够快速检测食用植物油、食用猪油、花生油、葵花....

  蔬菜农药残留快速检测仪【莱恩德】守卫顾客的消费安全性。蔬菜的产品质量是否关联到顾客的就餐安全性,以往....

  继续讲解程序!MSK也能进行相干解调?是的!同样是采用锁相环!先来看看MSK的优点,这是由于下面的这....

  密切协作助力移动运营商以独立模式高效部署先进的5G 服务。 2021年9月6日,北京――是德科技公司....

  企业的数据之痛 企业的数据之痛源⾃于企业的数据处理能⼒和数据增⻓速度的不匹配。根据知名分析机构的估算....

  在职场中,人与人之间的交际是最基本的环节。如何在初次见面时就给对方留下一个好的印象,这是一个需要考量....

  蔬菜农药残留检测仪多少钱一台FT-WLK2【风途】幼儿园里的食材农药超标,对于孩子可能造成的伤害就更....

  家庭用的蔬菜农药残留检测仪的功能有哪些?FT-WLK1【风途】农药残留是影响农产品质量安全的重要因素....

  相信大家对于HR既熟悉又陌生,熟悉是因为每个人入职、日常工作都会有所交集,陌生是因为大家对人力资源管....

  随着科技的不断进步,我国进入新型工业化时代,用电需求量也越来越大,用电分为高压用电和低压用电。安全用....

  科研级全项目土壤肥料养分检测仪参数及特点JD-GT5今晚特马开奖结果,顾名思义,是用来检测土壤肥料的专业仪器。随着科....

  计算机硬盘维修与数据恢复语音编辑锁定讨论上传视频《计算机硬盘维修与数据恢复》是2006年高等教育出版社出版的图书。书名计算机...

  [导读]【机房】强弱电机房位置大小及布置(附案例)变电所机房位置选择1、接近负荷中心;2、进出线、考虑防水,不应设在厕所、...

  一、前言 以微博为例,每个用户会发很多微博,其中包含了很多关键词信息。而这些关键词就是用户可能感兴趣的事物。我们需要用Ha...

  在元宇宙爆火之前,通往虚拟世界的主角一直都是VR/AR,在VR方面,苹果、Facebook、谷歌、华....

  在今天的智能社会,数据成为了最为重要的资源。根据Statista 的统计和预测,2020年全球数据产....

  定义结构体变量       下面举一个例子来说明怎样定义结构体变量。                ....

  就像亚马逊创始人Jeff Bezos所说的,“在当今动荡的时代,我们能做的就是重塑。你能拥有的可持续....

  Linux系统中图形显示方案   1 FBDEV Framebuffer device 社区参与度不....

  不能度量,就无法增长。 数据分析对于企业商业价值的提升起到了至关重要的作用。在具体的业务场景中,一般....

  前言 说到MySQL,有两块日志一定绕不开,一个是InnoDB存储引擎的redo log(重做日志)....

  在元宇宙爆火之前,通往虚拟世界的主角一直都是VR/AR,在VR方面,苹果、Facebook、谷歌、华....

  oppo A92s刷机教程一:oppo A92s升级前的准备工作:1、刷机会清除手机中的数据,请手先备份手机中重要人个资料信息,不会备份的...

  气象墒情监测站FT-TDR由于比表面积不同,导致粒径大小有差异的矿物颗粒的储水能力及储水后再供水的能....

  土壤养分含量测定仪的功能特点介绍【霍尔德仪器HED-GT4】土壤养分速测仪通过对土壤的检测以数据的形....

  随着发展,食品行业在不断的扩大生产,与此同时一些不法现象也开始出现,很多食品中蛋白质含量不合标,通过....

  故障预测数据数据获取数据预处理模型CNNLSTMGAN具体情况特殊处理数据量较大数据量不足特征杂糅...

  近日,恒瑞医药发布 2021 年半年报发布,面对自 2003 年以来净利增长率最低的数据,董事长孙飘....

  新型数据中心中“新计算、新网络”的能力建设,意味着社会中的算力将被进一步中心化。

  FIFO 最小深度计算 例子 - 1:f_wr 》 f_rd,连续读写 写时钟80MHz。 读时钟5....

  满意答案1215XLH推荐于 2019.09.28采纳率:48%等级:8已帮助:161人一. CPU无论在中低端路由器还是在高端路由器中,CPU...

  通信机房电源及配套设计一、前期准备及勘察阶段1.1前期准备我们设计院将接下来的通信电源工程设计任务书下发的设计部...

  XX计算机应用基础模拟题「附答案」 (14页) 本资源提供全文预览,点击全文预览即可全文预览,如果喜欢文档就下载吧,查找使用更方...

  ModBus有四种数据,DI、DO、AI、AODI: 数字输入,离散输入,一个地址一个数据位,用户只能读取它的状态,不能修改。...

  DLP即Data Loss Prevention,数据泄漏防护,是一组技术的集合组成的解决方案,其核....

  人工气候室是托普云农根据市场要求而设计研发,该仪器能够进行各类气候实验的专用仪器,其能够充分利用自然....

  现阶段企业数字化转型的瓶颈是什么?很多人都把企业数字化转型重点当做大数据与数据分析。他们会引用互联网....

  怎样选择手持激光叶面积仪?【霍尔德电子科技YMJ-A】 近年来随着传感器技术的普及,便携式叶面积测试....

  较上一代提升50%,实现大容量45TB。可低成本、安全、长期的保存大容量数据,并能大幅度削减数据保存....

  植物叶面积指数仪有什么优势?【霍尔德电子科技YMJ-B】 现阶段,植物叶面积仪已成为农业科研中测量植....

  便携式多参数水质测定仪的应用领域有哪些【HED-S06】霍尔德电子HED-S06水质检测仪是一款适用....

  什么是字典树字典树,是一种空间换时间的数据结构,又称Trie树、前缀树,是一种树形结构(字典树是一种....

  三种流量计相关标准中,测量技术标准是流量测量准确的基础,环保产品技术要求及计量检定规程是保证测量准确....

  越来越多的电梯制造公司正在打智能电梯的主意,不仅仅是为了让他们的产品看起来更高大尚,也可以大幅度优化....

  植物想要生长的好,那么和土壤环境是分不开的。适宜的土壤环境是农作物高产的前提。从这句话我们就能够看出....

  数据可视化原则(一)理解数据源 确保了解你工作的数据。这是理解数据至关重要的第一步。你需要对宏观的全....

  正值暑假,天气炎热,出游行为增多,孩子涉水、游泳行为频发,溺水事故也进入高发期。据统计,溺水事故是中....

  零信任是一种安全模型,基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证....

  大多数APP里面返回的是json格式数据,或者一堆加密过的数据 。这里以超级课程表APP为例,抓取超....

  1. 项目目标 支付中心架构将各业务的公共交易、支付、财务等沉淀到支付中心,并主要解决了以下三个主要....

  医疗信息化的后台应用,简言之,就是打破数据孤岛,实现区域数据的互联互通。

  上周,我们对高校信息化建设阶段的3个要点进行了探讨: ■第一,制定战略目标 ■第二,不要贪多 ■第三....

  桑基图,即桑基能量分流图,也叫桑基能量平衡图。因1898年Matthew Henry Phineas....

  为解决高吞吐量、高光纤数数据中心连接应用的需要,MPO型光缆提供了完美的解决方案。 L-com诺通全....

  有效系统数据表征矢量网络分析仪校准以后的剩余测量误差,有效系统数据指标与网络分析仪传输反射测量准确度....