NameTests expuso datos de sus más de 120 millones de usuarios

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

La popular app de tests de Facebook NameTests ha corregido un fallo que exponía públicamente la información de sus más de 120 millones de usuarios mensuales, incluso después de eliminar la aplicación. El hallazgo fue realizado por el investigador Inti De Ceukelaire, que fue recompensado por Facebook como parte de su Data Abuse Bounty Program.

Para realizar los tests, NameTests pedía a los miembros de Facebook sus datos personales. Al realizar un test, De Ceukelaire descubrió que el sitio web podría mostrar su información personal en la página web, datos que incluían su nombre y fecha de nacimiento, hasta los amigos y las publicaciones que comparte en la red social, los cuales estaban a disposición del público para cualquier tercero que lo haya solicitado.

“En una situación normal, otros sitios web no podrían acceder a esta información. Los navegadores web tienen mecanismos establecidos para evitar que eso suceda. Sin embargo, como NameTests mostraba los datos personales de sus usuarios en un archivo javascript, prácticamente cualquier sitio web podía acceder a ellos cuando lo solicitaban”, ha explicado en un post el investigador. “NameTests también proporcionaría una clave secreta llamada token de acceso, que, dependiendo de los permisos otorgados, podría usarse para obtener acceso a publicaciones, amigos y fotografías de un visitante. Solo haría falta una visita a nuestro sitio web para obtener acceso a la información personal de una persona durante un máximo de dos meses”.

NameTests podría seguir revelando datos después de eliminar la aplicación. Para evitar que esto ocurra, el usuario debería haber eliminado manualmente las cookies en su dispositivo, ya que NameTests no ofrece una funcionalidad de cierre de sesión.