NameTests expuso datos de sus más de 120 millones de usuarios
- Vulnerabilidades
Un investigador de seguridad descubrió que un error en esta app permitía a un tercero acceder a información a través de los tests, desde los nombres y fechas de nacimiento de los usuarios, hasta los amigos y las publicaciones que comparten los usuarios de la red social.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
La popular app de tests de Facebook NameTests ha corregido un fallo que exponía públicamente la información de sus más de 120 millones de usuarios mensuales, incluso después de eliminar la aplicación. El hallazgo fue realizado por el investigador Inti De Ceukelaire, que fue recompensado por Facebook como parte de su Data Abuse Bounty Program.
Para realizar los tests, NameTests pedía a los miembros de Facebook sus datos personales. Al realizar un test, De Ceukelaire descubrió que el sitio web podría mostrar su información personal en la página web, datos que incluían su nombre y fecha de nacimiento, hasta los amigos y las publicaciones que comparte en la red social, los cuales estaban a disposición del público para cualquier tercero que lo haya solicitado.
“En una situación normal, otros sitios web no podrían acceder a esta información. Los navegadores web tienen mecanismos establecidos para evitar que eso suceda. Sin embargo, como NameTests mostraba los datos personales de sus usuarios en un archivo javascript, prácticamente cualquier sitio web podía acceder a ellos cuando lo solicitaban”, ha explicado en un post el investigador. “NameTests también proporcionaría una clave secreta llamada token de acceso, que, dependiendo de los permisos otorgados, podría usarse para obtener acceso a publicaciones, amigos y fotografías de un visitante. Solo haría falta una visita a nuestro sitio web para obtener acceso a la información personal de una persona durante un máximo de dos meses”.
NameTests podría seguir revelando datos después de eliminar la aplicación. Para evitar que esto ocurra, el usuario debería haber eliminado manualmente las cookies en su dispositivo, ya que NameTests no ofrece una funcionalidad de cierre de sesión.