漏洞賞金獵人Inti De Ceukelaire發(fā)博客稱，Nametests.com的第三方智力競賽應(yīng)用讓1.2億Facebook用戶的數(shù)據(jù)面臨泄露風(fēng)險，用戶在Facebook上的姓名、出生日期、婚姻狀態(tài)、好友名單、圖片等等信息都可能被濫用。在刪除應(yīng)用后，仍然會顯示用戶的身份。

在劍橋分析（Cambridge Analytica）的數(shù)據(jù)濫用丑聞后，F(xiàn)acebook開始進行歷史應(yīng)用審查。然而這次審查捅出了更多問題。

一個名為“NameTests”的第三方應(yīng)用程序最近被爆存在重大漏洞，1.2億用戶的信息都有可能被泄露。

NameTests測試頁面

只要用戶注冊Nametests.com網(wǎng)站中的任何一款智力競賽應(yīng)用，他們在Facebook上的個人數(shù)據(jù)都會被泄漏。這些數(shù)據(jù)包括姓名、出生日期、婚姻狀態(tài)、好友名單、圖片等等。即便是用戶刪除了這些應(yīng)用，這些數(shù)據(jù)也依然會被泄漏。

戲劇性的是，在4月底，F(xiàn)acebook加強數(shù)據(jù)管理，通過自己的“數(shù)據(jù)濫用漏洞賞金計劃”提醒測試類應(yīng)用（quiz apps）有泄露數(shù)據(jù)的風(fēng)險，但過了一個月之后，這些應(yīng)用仍好好地在Facebook平臺上。

直到漏洞賞金獵人Inti De Ceukelaire發(fā)現(xiàn)NameTests的問題。

在刪除應(yīng)用后，仍然會顯示用戶的身份

Nametests是一個智力測試應(yīng)用，能夠根據(jù)測試來推斷用戶更像哪個人物。在加載測試時，網(wǎng)站會提取個人信息并將其顯示在網(wǎng)頁上。以下是賞金獵人De Ceukelaire的個人信息來源：

http://nametests.com/appconfig_user

理論上，每個網(wǎng)站都可能要求提供這些數(shù)據(jù)。請注意，這些數(shù)據(jù)還包括一個“token”，用于訪問用戶授權(quán)應(yīng)用程序訪問的所有數(shù)據(jù)，例如照片、帖子和朋友。

讓De Ceukelaire震驚的是，這些數(shù)據(jù)已經(jīng)向任何請求它的第三方公開提供。

在正常情況下，其他網(wǎng)站將無法訪問此信息，Web瀏覽器有適當(dāng)?shù)臋C制來防止這種情況發(fā)生。然而，在這種情況下，數(shù)據(jù)被封裝在一個叫javascript的東西里，這是此規(guī)則的一個例外。

javascript的基本原則之一是它可以與其他網(wǎng)站共享。由于NameTests在javascript文件中顯示用戶的個人數(shù)據(jù)，因此幾乎任何網(wǎng)站都可以在他們請求時訪問它。

NameTests想知道你是誰，所以訪問nametests.com/appconfig_user，但任何其他網(wǎng)站也可以這樣做。

為了驗證它實際上很容易竊取別人的信息，De Ceukelaire建立了一個網(wǎng)站，連接到NameTests并獲取關(guān)于它的訪問者的一些信息。NameTests還會提供一個稱為訪問token的密鑰，根據(jù)授予的權(quán)限，該密鑰可用于訪問訪問者的帖子、照片和朋友。只需要一次訪問De Ceukelaire的網(wǎng)站就可以訪問一個人的信息長達兩個月。

即使在刪除應(yīng)用后，NameTests仍然會顯示用戶的身份。為了防止這種情況發(fā)生，用戶必須手動刪除設(shè)備上的Cookie，因為NameTests.com不提供注銷功能。

一般用戶不想讓任何網(wǎng)站知道自己是誰，更不用說竊取用戶的信息或照片。如果濫用此漏洞，廣告客戶可能會根據(jù)Facebook帖子和朋友定位（政治）廣告。更露骨的網(wǎng)站可能會利用這個漏洞敲詐訪問者，威脅要把用戶秘密搜索歷史泄露給他的朋友。

1.2億用戶面臨數(shù)據(jù)泄露風(fēng)險

據(jù)Facebook稱，NameTests擁有超過1.2億活躍的月度用戶。

為了更好地掌握這些測驗的覆蓋面，De Ceukelaire列出了他們的NameTest本地化Facebook頁面列表，其中有超過一百萬個喜歡的頁面，這是相當(dāng)可怕的數(shù)字。

4月22日，De Ceukelaire第一次向Facebook報告了這一情況。4月30日，他收到了Facebook的初步回復(fù)，對方表示他們正在調(diào)查（looking into）。

De Ceukelaire在5月14日又發(fā)送了一封后續(xù)電子郵件，詢問Facebook是否已經(jīng)聯(lián)系了應(yīng)用程序開發(fā)人員。

直到5月22日，距離De Ceukelaire第一次向Facebook報告問題后的一個月，F(xiàn)acebook回復(fù)說可能需要三到六個月的時間來調(diào)查這個問題（即他們最初的自動回復(fù)中提到的同一時間段）。而NameTests的測驗仍在進行中。

一個月后的6月25日，De Ceukelaire說，他注意到NameTests已經(jīng)改變了它們處理數(shù)據(jù)的方式，從而關(guān)閉了它們暴露給第三方的訪問權(quán)限。第二天（6月26日），De Ceukelaire與NameTest的數(shù)字保護官員聯(lián)系，回答了有關(guān)Facebook漏洞和披露過程的一些問題。

第三天（6月27日），F(xiàn)acebook也證實了這一書面漏洞，并承認：“這可能會讓攻擊者確定Facebook平臺登錄用戶的詳細信息?！?/p>

Facebook還告訴他，它們已經(jīng)和NameTests確認了，這個問題已經(jīng)解決。它的應(yīng)用程序仍然可以在Facebook的平臺上使用——這表明Facebook沒有發(fā)現(xiàn)導(dǎo)致它暫停其他第三方應(yīng)用程序的可疑活動。(至少，假設(shè)它進行了調(diào)查。)

最后，根據(jù)數(shù)據(jù)濫用漏洞賞金計劃(Data Abuse Bounty Program)的條款，F(xiàn)acebook向一家慈善機構(gòu)支付了4000x2美元的賞金——這也是De Ceukelaire的要求。

審查應(yīng)用程序是Facebook的品牌公關(guān)行為？沒有執(zhí)行力的規(guī)則不值得寫在紙上

今年，F(xiàn)acebook在“劍橋分析門”之后對歷史應(yīng)用進行審查，扎克伯格說，公司將“調(diào)查所有在2014年我們改變平臺以大幅減少數(shù)據(jù)訪問之前能夠獲得大量信息的程序，我們將全面地審查所有應(yīng)用和可疑的活動?！焙髞鞦acebook又啟動了數(shù)據(jù)濫用漏洞賞金計劃(Data Abuse Bounty Program)。

在審查期間，F(xiàn)acebook已經(jīng)暫停了約200個應(yīng)用程序。直到現(xiàn)在審查仍在進行中，目前也沒有關(guān)于何時結(jié)束審查過程（以及相關(guān)的調(diào)查）的正式時間表。

在4月底，通過自己的“數(shù)據(jù)濫用漏洞賞金計劃”，F(xiàn)acebook已經(jīng)被提醒測試類應(yīng)用（quiz apps）有泄露數(shù)據(jù)的風(fēng)險，但過了一個月之后，這些應(yīng)用仍好好地在Facebook平臺上。又過了一個月，這些漏洞才被修復(fù)。

TechCrunch認為，你不得不懷疑Facebook的審查是否有用，還是僅是Facebook的一種品牌公關(guān)行為。

潛在的問題是，F(xiàn)acebook是否對其平臺上運行的應(yīng)用程序真的進行檢查。如果沒有任何積極的過程來實施條款與細則（T&C），那么擁有條款與細則就沒什么用。沒有執(zhí)行力的規(guī)則不值得寫在紙上。

歷史證據(jù)表明，F(xiàn)acebook并沒有積極執(zhí)行其開發(fā)人員條款與細則——盡管它現(xiàn)在聲稱正在“鎖定平臺”，但隱私丑聞太多。

劍橋分析丑聞中的測驗應(yīng)用程序開發(fā)人員Aleksandr Kogan曾收集并銷售/倒手Facebook的用戶數(shù)據(jù)給第三方，他指責(zé)Facebook基本上沒有相關(guān)政策。Aleksandr Kogan認為，F(xiàn)acebook要對其平臺上發(fā)生的大規(guī)模數(shù)據(jù)濫用負責(zé)——而到目前為止，也只有一部分被曝光。