du 29 juin 2018
Date

Choisir une autre édition

 Des quiz Facebook auraient exposé les données de 120 millions d'internautes

Après le scandale du quiz de Cambridge Analytica, qui a aspiré des données de dizaines de millions de membres en 2014, les problèmes ne sont pas terminés pour Facebook. Le tour de vis donné en début d'année n'empêche pas les mauvaises pratiques techniques.

Le chercheur en sécurité Inti De Ceukelaire révèle une vulnérabilité dans un quiz de Nametests.com, qui revendique 120 millions d'utilisateurs mensuels.

Via ses quiz, NameTests envoyait des données des internautes sur son site. Une pratique habituellement interdite par les navigateurs, sauf dans le cas de scripts JavaScript. Or, si l'entreprise peut transmettre ces données de Facebook vers son site tiers, d'autres sites pourrait les aspirer de la même manière.

Le chercheur a vérifié son hypothèse en créant un site demandant des informations à NameTests sur le visiteur. Ces données étaient bien transmises, y compris un jeton d'accès pouvant ouvrir la voie aux publications, photos et amis de l'utilisateur sur deux mois. Une démonstration en vidéo est proposée.

Inti De Ceukelaire n'a pas trouvé ce problème par hasard. Attiré par le nouveau programme de recherche de bug (bug bounty) de Facebook, il a simplement passé au crible les applications de ses amis. Il a reçu 8 000 dollars en récompense, deux mois après l'avertissement initial.

chargement Chargement des commentaires...