Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ancora Facebook e privacy: Quiz App espone i dati di oltre 120 milioni di utenti
- LUNEDÌ 2 LUGLIO 2018


E' ancora fresca la rottura consumatasi tra Facebook e i suoi utenti dopo lo scandalo di Cambridge Analytica e già si manifesta il fantasma di una nuova esposizione dei dati di un numero impressionante di utenti: oltre 120 milioni. 

Anche in questo caso parliamo di un'app di terze parti, quindi non di diretta proprietà di Facebook, che ha esposto moltissimi dati senza che gli utenti ne fossero a conoscenza: la scoperta si deve ad un cosiddetto "white hat", un hacker etico che individua vulnerabilità o azioni scorrette da parte di grandi brand del web e le rende pubbliche. 

NameTests[.]com, il sito web dietro popolarissimi quiz sociale come "Which Disney Princess Are You?", conta circa 120 milioni di utenti mensili e usa la piattaforma di app di Facebook per offrire un sistema veloce di iscrizione. Come è valido per qualsiasi altra app di Facebook, la registrazione al sito NameTests tramite l'app consente all'azienda di recuperare le informazioni necessarie dal profilo Facebook dell'utente che si iscrive. Tuttavia, questa la scoperta del White hat, il sito web in questione lascia "scoperti" i dati dell'utente connesso ad altri siti web aperti con lo stesso browser: in sunto qualsiasi sito web malevolo può sfruttare questa falla per rubare agevolmente questa grande massa di dati aperti e disponibili. 

Di quali dati parliamo?
Stando alle ricerche del nostro hacker etico, che ha iniziato ad approfondire queste app partendo da alcune alle quali si erano iscritti alcuni suoi amici, i dati esposti sono moltissimi: nome, cognome, data di compleanno, location, età, fuso orario, id utente, sesso ecc... La scoperta è avvenuta navigando all'indirizzo http://nametests[.]com/appconfig_user: qui ha individuato un file Javascript contenente appunto i suoi dati e facilmente accessibile da qualsiasi sito web quando richiesto. 


Il problema origina da un difetto del sito NameTests presente, pare, fin dal 2016: è proprio la memorizzazione dei dati nel file Javascript alla base di tutto. L'operazione infatti non sarebbe altrimenti possibile perché violerebbe la policy CORS (Cross-Origin Resource Sharing) del browser, una policy che impedisce appunto a un sito web di leggere il contenuto di altri siti web senza esplicito consenso. Resosi conto della possibilità di violare la policy CORS, il nostro White Hat ha approntato un sito web dannoso che si collega a NameTests e che  è riuscito facilmente ad estrarre e sottrarre i dati sensibili degli utenti registrati. E' bastato infatti un semplice pezzetto di codice per raccogliere nomi, foto, post, immagini, liste di amici ecc..chiunque avesse partecipato al quiz.  Tra le altre cose ha perfino scoperto che i dati restano disponibili anche dopo la cancellazione dell'app da parte dell'utente stesso. 

Ricorda quindi, come sempre, di prestare molta attenzione ai dati che condividi online e di farlo solo quando è davvero necessario farlo. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 18 NOVEMBRE 2019
Quick Heal supporta il Windows 10 November Update
Microsoft ha diffuso recentemente il nuovo aggiornamento cumulativo per i pc che eseguono Windows 10, chiamato Windows 10 November Update.   Ecco alcune de...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login