Nametests.com webová stránka s kvízy, nedávno opravila chybu, která veřejně odhalila informace o více než 120 milionech uživatelů měsíčně. A to i poté co aplikaci odstranili.

Není to tak dávno, co jsme četli o společnosti Cambridge Analytica a máme tu další problém s únikem dat na Facebooku. Etický hacker @securinti upozornil na problém aplikace nametest.com. Pomocí této aplikace bylo možné přistoupit k Vašim soukromým údajům, a to i poté co jste aplikaci odstranili. Takhle aplikace posbírala informace o 120 milionech uživatelích každý měsíc, a to i poté co jste aplikaci odstranili.

Jak je tohle vůbec možné? Jednoduše. Aplikace během načítaní kvízu spouštěla javascript s Vaším přístupovým tokenem a jedním ze základních principů javascriptu je, že může být sdílen s jinými webovými stránkami. Vzhledem k tomu, že NameTests zobrazovaly osobní údaje uživatele v javascriptu, mohly k nim přistupovat libovolné webové stránky.

Co vše bylo možné o Vás veřejně zjistit je ukázáno na demonstračním videu:

Více info na blogu: https://medium.com/@intideceukelaire

Patrik Žák IT

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.