Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Quiz op Facebook lekte informatie over ingelogde gebruikers

Facebook-quiz NameTests maakte het mogelijk om via een kwaadaardige site informatie te verzamelen over ingelogde Facebook gebruikers. Dat ontdekte de ethische hacker Inti De Ceukelaire, die daardoor in aanmerking kwam voor een bug bounty.

De Ceukelaire onderzocht verschillende apps op het sociale netwerk vanwege een nieuw bug bounty-programma, dat Facebook in het leven riep na het Cambridge Analytica-schandaal. Bij een van de apps, NameTest van het Duitse Social Sweethearts, ontdekte hij dat deze zijn persoonlijke informatie van een externe NameTests-site haalde.

Vervolgens kwam hij erachter dat het mogelijk was om via een kwaadaardige site eveneens informatie over ingelogde Facebook-gebruikers te verzamelen door gebruik te maken van die NameTests-endpoint. De opgevraagde gegevens bevatten bovendien een toegangstoken dat, afhankelijk van de verleende permissies, toegang gaf tot geplaatste berichten, vrienden en foto's van gebruikers.

De gegevens die een kwaadwillende op deze manier kon inzien, verschilden volgens De Ceukelaire per app. Zo ging het bijvoorbeeld om Facebook-id, voornaam, achternaam, taal, geslacht, geboortedatum, profielfoto, gebruikte apparaten, vrienden, foto's en posts. Volgens NameTests zelf zijn er geen aanwijzingen dat kwaadwillenden misbruik hebben gemaakt van het lek.

Facebook liet aan De Ceukelaire weten dat de NameTests-app ongeveer 120 miljoen maandelijks actieve gebruikers heeft. De mogelijkheid tot het opvragen van gegevens bestond volgens NameTests sinds het begin van vorig jaar. Volgens De Ceukelaire was het niet mogelijk om bij de app uit te loggen en was dit alleen mogelijk door handmatig de corresponderende cookies te verwijderen. Dus ook nadat de app was verwijderd, was het alsnog mogelijk om gegevens te achterhalen. Facebook heeft een beloning van vierduizend dollar toegekend. Nadat De Ceikelaire had gezegd dat hij het bedrag aan een goed doel zou schenken, verdubbelde het bedrijf dat bedrag.

Video met demonstratie van De Ceukelaire

Door Sander van Voorst

Nieuwsredacteur

28-06-2018 • 11:58

24 Linkedin Google+

Submitter: freggy

Reacties (24)

Wijzig sortering
Zijn er dan echt geen 'Review Guidelines' voor dit soort apps? 8)7

Facebook blijft me verbazen.
"..., gebruikte apparaten, vrienden, foto's en posts"
waarom heeft dit soort apps toegang nodig tot zelfs de inhoud van al je posts en gebruikte apparaten etc... maar vooral waarom faciliteerd facebook dit? en waarom blijven ze dit doen?

nu gaat het om eentje die dan ook nog alles en plain publique opvraagbaar maakt, maar daardoor wordt het tenminste duidelijk dat facebook maar blijft volharden in het rondstrooien van je gegevens naar iedereen die een appje op hun platform wil zetten.
De app zelf heeft geen directe toegang tot deze data, maar voor de login wordt via Facebook een sessie token verzonden voor cross-site communicatie. Met deze token kan je wel al deze gegevens inzien als je deze verstuurt met een request naar data die normaal niet publiekelijk toegankelijk is. In dit geval is zowel Facebook als NameTest schuldig. Facebook voor het gebruiken van langdurig geldige sessie tokens voor derden waarmee ook prive data kan worden ingezien en NameTest voor het opslaan en toegankelijk maken van de sessie token.

Dat de website jouw naam, geslacht, leeftijd, etc. weet daar teken je zelf voor als je toegang geeft en dat kunnen ze gewoon opslaan als zij dat willen ( mits niet in strijd met plaatselijke wetten ). Maar het is aan Facebook om voor zulk soort services een tijdelijke sessie token te maken die direct verloopt na het gebruiken van de service, in plaats van de originele sessie token voor het gebruik van Facebook zelf te versturen waarmee langdurig toegang is tot jouw gegevens tot de sessie verloopt.
Omdat de bedrijven die Facebook dat geld geven, hierom vragen.
en dat ze dit dan doen is legaal omdat...?

drugsdealers leveren ook vanalles waarvoor gevraagd wordt aan mensen die er geld voor geven, toch gaat vadertje staat ze de bak in draaien als ze er op betrapt worden...


edit: willen de heren die dit ongewenst modereren eens een woordje uitleg geven wat er ongewenst is?

[Reactie gewijzigd door SaiKoTiK op 28 juni 2018 14:49]

Dat is legaal omdat in de USofA dit normaal is.
Als jij bij bedrijf X data stalt met als onderliggende overeenkomst dat bedrijf X "eigenaar" wordt van de data dan is bedrijf X nalatig bezig als zij die informatie niet te gelde maakt voor haar aandeelhouders.

Je kan proberen het Amerikaans recht te veranderen...
"Altijd weer die Facebook, het zou verboden moeten woorden"

Sorry kon het niet laten, maar na AL die berichten hier op Tweakers en TV en nog steeds blijven de grootste gedeelte het gebruiken.
Het is geen app, maar een website die je ook op een desktop kan bekijken en waarin je je moet aanmelden op Facebook waarbij het achterliggende systeem dan gegevens van jou kan opvragen.

https://nl.nametests.com/
En de naive Facebook gebruikers blijven dit soort debieligheid maar invullen..... heb er eigenlijk geen medelijden mee met diegene die willen weten wat hun Disney / Heksen / Smurfen naam is of meer van dat soort idioterie ....
Wat cru, maar je hebt wel gelijk. Als ik mensen aanspoor om daarmee te stoppen en hun uitleg dat ze persoonlijke data opofferen om het resultaat van een RNG te zien, zeggen ze "het is maar een spel".

Ik heb een redelijk "Darwin award" gevoel bij iedereen dat dit doet.
Het probleem is op zich nog niet eens dat de personen dat zelf doen maar wel voor vrienden van die mensen. C.A. had ook gegevens van vrienden van vrienden. En bij mijn vrienden met een Android toestel worden mijn gegevens ook geüpload naar jan en alleman, terwijl ik dat niet wil.
Wat een onzin. Facebook zou gewoon dit soort data niet moeten delen. Het grootste gedeelte van de Facebook gebruikers heeft geen idee wat er met hun data gedaan wordt, en uitleg zal daar ook niet bij helpen, zoals jij zelf ook aangeeft.

Facebook zou haar gebruikers (en haar data) moeten beschermen tegen dit soort praktijken.
Mijn punt is dat sommige mensen dergelijke apps hoger plaatsen dan hun privacy, lek of geen lek.
En dat gebeurd al jaren niet.
En nog steeds zijn er miljarden gebruikers......ongelofelijk.
Karma Karma idd met die irritante 'quizes'.
Gewoon alles van nametests blokkeren en je ziet er niets meer van in je tijdslijn.
De uitleg is wat summier, ook in de blog. Het lijkt een combinatie van CSRF en jsonp te zijn.
Deze beste man vindt dus een lek waarmee enorm veel privacy gevoelige data kan worden verzameld en zn beloning is 4000? Ik dacht dat voor dergelijke omvangrijke lekken wel meer geld zou worden vrijgemaakt.
Uiteindelijk gaat het er toch om dat je mensen aanspoort ze op te zoeken, en ik kan me voorstellen dat daar heel veel tijd in kan gaan zitten. Voor 4k kun je dan beter gewoon een baan zoeken als it'er.
bron: https://www.vrt.be/vrtnws...lootgesteld-door-populai/
Omdat De Ceukelaire zelf gevraagd heeft dat zijn beloning aan een goed doel wordt gegeven, verdubbelde Facebook het bedrag. Zo zal Facebook 8.000 dollar storten aan Freedom of The Press Foundation, een organisatie die onderzoeksjournalistiek stimuleert.
In damage control is FB blijkbaar veel beter dan in het beschermen van zijn/mijn gegevens...

edit: staat blijkbaar ook in het artikel |:(

[Reactie gewijzigd door Tittah op 28 juni 2018 14:35]

Ik vond het al eng hoeveel mensen constant aan die onzin quiz apps doen en iedere keer accepteren dat die apps al je data open plukt. Het enige wat je er voor terug krijgt is een resultaat dat nergens op slaat. Dit omdat de quiz + resultaten gewoon willekeurig uit de lucht worden gegrepen om ze snel mogelijk zo veel mogelijk verschillende vormen te maken van hun quiz. Voor iedere interesse groep zijn er wel een zooi varianten.
Onwetendheid war ze met al die verzamelde data doen is al eng, maar het idee dat de beveiliging van die data ook nog eens slecht geregeld was geeft al helemaal geen goed gevoel. Ben blij dat ik er nooit 1 gedaan heb. En hopelijk verdwijnt deze onzin, want de grote stroom aan quiz resultaat posts is 1 van de redenen dat ik Facebook compleet zat was en tegenwoordig nauwelijks gebruik.
Ik begrijp ook niet waarom mensen hun horoscoop lezen want het is dikke onzin. Maar toch dient het voor vermaak. Dus verdwijnen zal het niet. Beperkt worden door regulering, hopelijk wel.

Maar is het dan ook niet gek dat je niets meer met Facebook doet... maar wel een account hebt, dat nog steeds gevuld wordt door alles wat je doet (via pixels en like-knoppen).
Helaas ga ik er ook niet vanuit dat het verdwijnt. Ik zie alleen maar de trend dat er steeds meer van dit soort onzin bij komt. Daarnaast pushed Facebook ook nog eens alle irrelevant berichten in je gezicht met meldingen.

Dat Facebook iedereen volgt of je nou op Facebook zit, of welke site dan ook is al lang bekend. Maar dat kan je tegenhouden door cookies en trackers te blokkeren.
Dat sluit natuurlijk niet uit dat Facebook geen andere manieren heeft om mijn gegevens te verzamelen. Komt namelijk ook voor dat andere sites/apps simpelweg hun klantenbestand delen met Facebook. Maar of ze die gegevens nou aan een officieel profiel koppelen of een geheim profiel maakt dan ook weinig uit
Dat screenshot heeft deze onderzoeker zelf gedeeld.

Zie ook de link aan het begin van het artikel: klik.

[Reactie gewijzigd door RVervuurt op 28 juni 2018 12:16]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True