Un ricercatore ha scoperto che un’app di quiz social chiamata NameTests ha lasciato i dati di 120 milioni di utenti di Facebook esposti a chiunque sapesse leggerli. La società dietro NameTest, che si chiama Social Sweethearts, ha creato quiz e test della personalità davvero popolari, tra cui “A quale principessa Disney assomigli?”, raccogliendo informazioni personali come nomi, compleanni, foto e liste di amici, mostrandole così in un file JavaScript che potrebbe esser stato ottenuto facilmente da malintenzionati.
«Hai mai fatto un test della personalità su Facebook? Per anni, chiunque avrebbe potuto accedere alle tue informazioni private, amici, messaggi e foto», denuncia su Medium lo sviluppatore Inti De Ceukelaire, il quale afferma di aver contattato Facebook più volte ma di aver semplicemente appreso che l’azienda avrebbe esaminato il problema.
Nello specifico, non avendo mai usato personalmente un’applicazione per quiz, lo sviluppatore comunica di aver iniziato a guardare le app che i suoi amici avevano installato sul social, così ha scelto di fare il suo primo quiz attraverso l’app NameTests. Quando ha iniziato a tracciare come venivano gestiti i suoi dati, ha notato che il sito Web di NameTest stava recuperando le sue informazioni dall’URL “http://nametests.com/appconfig_user”. I suoi dati personali erano contenuti in un file JavaScript che poteva essere facilmente richiesto da qualsiasi sito web che sapesse chiederlo. Inoltre, NameTest fornirebbe anche un token di accesso che avrebbe consentito per anni a un potenziale sito Web di terze parti di continuare ad accedere alle informazioni relative a post, foto e amici di un utente per un massimo di due anni.
A seconda dei quiz che hai svolto, il javascript potrebbe fare un leak dell’ID di Facebook, del nome, del cognome, lingua, sesso, data di nascita, foto del profilo, foto di copertina, valuta, i dispositivi che utilizzi, quando l’informazione è stata aggiornata l’ultima volta, i tuoi post e stati, le tue foto e i tuoi amici.
In una dichiarazione rilasciata a TechCrunch, Social Sweethearts ha affermato che non ci sono prove che i dati personali degli utenti che hanno fatto un quiz attraverso NameTests siano stati esposti a terzi o che siano stati mai utilizzati in modo improprio:
Come responsabile della protezione dei dati di Social Sweethearts, vorrei informarti che la questione è stata attentamente esaminata. Dall’indagine è emerso che non vi era alcuna prova che i dati personali degli utenti fossero divulgati a terzi non autorizzati e tanto più che non vi era alcuna prova che fosse stato utilizzato in modo improprio. Tuttavia, la sicurezza dei dati è presa molto sul serio da Social Sweethearts e attualmente vengono adottate misure per evitare rischi in futuro.
Facebook afferma di aver gestito il problema attraverso il suo programma Bug Bounty sull’abuso dei dati, come confermato da Ime Archibong in una dichiarazione rilasciata a TechCrunch:
Un ricercatore ha portato il problema con il sito nametests.com alla nostra attenzione attraverso il nostro programma Bounty sugli abusi di dati che abbiamo lanciato ad aprile per incoraggiare rapporti che coinvolgessero i dati di Facebook. Abbiamo lavorato con nametests.com per risolvere la vulnerabilità sul loro sito Web, che è stata risolta a giugno.
Dopo i recenti scandali sui dati, si parla ancora una volta di potenziali problemi di privacy per gli utenti Facebook. A differenza della situazione con Cambridge Analytica, questo difetto non ha però coinvolto le politiche di Facebook: il problema di sicurezza ha infatti avuto a che fare con la codifica imperfetta sul sito Web di Nametests.