Quiz op Facebook lekte informatie over ingelogde gebruikers

Facebook-quiz NameTests maakte het mogelijk om via een kwaadaardige site informatie te verzamelen over ingelogde Facebook gebruikers. Dat ontdekte de ethische hacker Inti De Ceukelaire, die daardoor in aanmerking kwam voor een bug bounty.

De Ceukelaire onderzocht verschillende apps op het sociale netwerk vanwege een nieuw bug bounty-programma, dat Facebook in het leven riep na het Cambridge Analytica-schandaal. Bij een van de apps, NameTest van het Duitse Social Sweethearts, ontdekte hij dat deze zijn persoonlijke informatie van een externe NameTests-site haalde.

Vervolgens kwam hij erachter dat het mogelijk was om via een kwaadaardige site eveneens informatie over ingelogde Facebook-gebruikers te verzamelen door gebruik te maken van die NameTests-endpoint. De opgevraagde gegevens bevatten bovendien een toegangstoken dat, afhankelijk van de verleende permissies, toegang gaf tot geplaatste berichten, vrienden en foto's van gebruikers.

inti-facebook

De gegevens die een kwaadwillende op deze manier kon inzien, verschilden volgens De Ceukelaire per app. Zo ging het bijvoorbeeld om Facebook-id, voornaam, achternaam, taal, geslacht, geboortedatum, profielfoto, gebruikte apparaten, vrienden, foto's en posts. Volgens NameTests zelf zijn er geen aanwijzingen dat kwaadwillenden misbruik hebben gemaakt van het lek.

Facebook liet aan De Ceukelaire weten dat de NameTests-app ongeveer 120 miljoen maandelijks actieve gebruikers heeft. De mogelijkheid tot het opvragen van gegevens bestond volgens NameTests sinds het begin van vorig jaar. Volgens De Ceukelaire was het niet mogelijk om bij de app uit te loggen en was dit alleen mogelijk door handmatig de corresponderende cookies te verwijderen. Dus ook nadat de app was verwijderd, was het alsnog mogelijk om gegevens te achterhalen. Facebook heeft een beloning van vierduizend dollar toegekend. Nadat De Ceikelaire had gezegd dat hij het bedrag aan een goed doel zou schenken, verdubbelde het bedrijf dat bedrag.

Video met demonstratie van De Ceukelaire

Door Sander van Voorst

Nieuwsredacteur

Feedback • 28-06-2018 11:58
24 • submitter: freggy

28-06-2018 • 11:58

24

Submitter: freggy

Lees meer

'Ze noemen simpele bugs Inti-bugs'

2 jun 2022

'Ze noemen simpele bugs Inti-bugs'

Interview met ethisch hacker Inti De Ceukelaire

9
Vlaming maakt zoekmachine die met Belgisch telefoonnummer Facebook-lek doorzoekt
Vlaming maakt zoekmachine die met Belgisch telefoonnummer Facebook-lek doorzoekt Nieuws van 5 april 2021
Facebook informeert 4 miljoen gebruikers over mogelijk via app uitgelekte data
Facebook informeert 4 miljoen gebruikers over mogelijk via app uitgelekte data Nieuws van 23 augustus 2018
Facebook sluit 'honderdduizenden' apps af die niet voor inspectie zijn aangemeld
Facebook sluit 'honderdduizenden' apps af die niet voor inspectie zijn aangemeld Nieuws van 1 augustus 2018
Aantal actieve Facebook-gebruikers in Europa neemt af
Aantal actieve Facebook-gebruikers in Europa neemt af Nieuws van 26 juli 2018
'Facebook blokkeert apps van analyticsbedrijf en onderzoekt contracten'
'Facebook blokkeert apps van analyticsbedrijf en onderzoekt contracten' Nieuws van 20 juli 2018
'Waakhond VS onderzoekt of Facebook eerder open had moeten zijn over Cambridge'
'Waakhond VS onderzoekt of Facebook eerder open had moeten zijn over Cambridge' Nieuws van 13 juli 2018
Socialemediadienst Timehop waarschuwt 21 miljoen gebruikers na datalek
Socialemediadienst Timehop waarschuwt 21 miljoen gebruikers na datalek Nieuws van 9 juli 2018
Test Aankoop: meer dan 14.000 Belgen doen mee aan Facebook-groepsvordering
Test Aankoop: meer dan 14.000 Belgen doen mee aan Facebook-groepsvordering Nieuws van 4 juni 2018
Belgen kunnen aansluiten bij groepsvordering om 200 euro te eisen van Facebook
Belgen kunnen aansluiten bij groepsvordering om 200 euro te eisen van Facebook Nieuws van 30 mei 2018
Intieme informatie miljoenen gebruikers Facebook-app stond op onbeveiligde site
Intieme informatie miljoenen gebruikers Facebook-app stond op onbeveiligde site Nieuws van 15 mei 2018
Facebook introduceert beloningsprogramma voor melden datamisbruik
Facebook introduceert beloningsprogramma voor melden datamisbruik Nieuws van 11 april 2018
Zuckerberg: we deden onvoldoende om Facebook-misbruik te voorkomen
Zuckerberg: we deden onvoldoende om Facebook-misbruik te voorkomen Nieuws van 9 april 2018
Meer producten en artikelen
Beveiliging en antivirus Datalek Facebook

Reacties (24)

-Moderatie-faq
24
23
13
3
0
6
Wijzig sortering
BadGamer 28 juni 2018 12:09
Zijn er dan echt geen 'Review Guidelines' voor dit soort apps? 8)7

Facebook blijft me verbazen.
SaiKoTiK @BadGamer28 juni 2018 12:22
"..., gebruikte apparaten, vrienden, foto's en posts"
waarom heeft dit soort apps toegang nodig tot zelfs de inhoud van al je posts en gebruikte apparaten etc... maar vooral waarom faciliteerd facebook dit? en waarom blijven ze dit doen?

nu gaat het om eentje die dan ook nog alles en plain publique opvraagbaar maakt, maar daardoor wordt het tenminste duidelijk dat facebook maar blijft volharden in het rondstrooien van je gegevens naar iedereen die een appje op hun platform wil zetten.
Fox @SaiKoTiK28 juni 2018 13:12
De app zelf heeft geen directe toegang tot deze data, maar voor de login wordt via Facebook een sessie token verzonden voor cross-site communicatie. Met deze token kan je wel al deze gegevens inzien als je deze verstuurt met een request naar data die normaal niet publiekelijk toegankelijk is. In dit geval is zowel Facebook als NameTest schuldig. Facebook voor het gebruiken van langdurig geldige sessie tokens voor derden waarmee ook prive data kan worden ingezien en NameTest voor het opslaan en toegankelijk maken van de sessie token.

Dat de website jouw naam, geslacht, leeftijd, etc. weet daar teken je zelf voor als je toegang geeft en dat kunnen ze gewoon opslaan als zij dat willen ( mits niet in strijd met plaatselijke wetten ). Maar het is aan Facebook om voor zulk soort services een tijdelijke sessie token te maken die direct verloopt na het gebruiken van de service, in plaats van de originele sessie token voor het gebruik van Facebook zelf te versturen waarmee langdurig toegang is tot jouw gegevens tot de sessie verloopt.
batjes @SaiKoTiK28 juni 2018 12:33
Omdat de bedrijven die Facebook dat geld geven, hierom vragen.
SaiKoTiK @batjes28 juni 2018 12:42
en dat ze dit dan doen is legaal omdat...?

drugsdealers leveren ook vanalles waarvoor gevraagd wordt aan mensen die er geld voor geven, toch gaat vadertje staat ze de bak in draaien als ze er op betrapt worden...


edit: willen de heren die dit ongewenst modereren eens een woordje uitleg geven wat er ongewenst is?

[Reactie gewijzigd door SaiKoTiK op 22 juli 2024 19:25]

tweaknico @SaiKoTiK28 juni 2018 16:39
Dat is legaal omdat in de USofA dit normaal is.
Als jij bij bedrijf X data stalt met als onderliggende overeenkomst dat bedrijf X "eigenaar" wordt van de data dan is bedrijf X nalatig bezig als zij die informatie niet te gelde maakt voor haar aandeelhouders.

Je kan proberen het Amerikaans recht te veranderen...
AmigaWolf @batjes28 juni 2018 21:43
"Altijd weer die Facebook, het zou verboden moeten woorden"

Sorry kon het niet laten, maar na AL die berichten hier op Tweakers en TV en nog steeds blijven de grootste gedeelte het gebruiken.
easyriider @BadGamer28 juni 2018 13:15
Het is geen app, maar een website die je ook op een desktop kan bekijken en waarin je je moet aanmelden op Facebook waarbij het achterliggende systeem dan gegevens van jou kan opvragen.

https://nl.nametests.com/
fletnix2.0 28 juni 2018 12:28
En de naive Facebook gebruikers blijven dit soort debieligheid maar invullen..... heb er eigenlijk geen medelijden mee met diegene die willen weten wat hun Disney / Heksen / Smurfen naam is of meer van dat soort idioterie ....
pieterdebie @fletnix2.028 juni 2018 12:36
Wat cru, maar je hebt wel gelijk. Als ik mensen aanspoor om daarmee te stoppen en hun uitleg dat ze persoonlijke data opofferen om het resultaat van een RNG te zien, zeggen ze "het is maar een spel".

Ik heb een redelijk "Darwin award" gevoel bij iedereen dat dit doet.
iAR @pieterdebie28 juni 2018 14:29
Het probleem is op zich nog niet eens dat de personen dat zelf doen maar wel voor vrienden van die mensen. C.A. had ook gegevens van vrienden van vrienden. En bij mijn vrienden met een Android toestel worden mijn gegevens ook geüpload naar jan en alleman, terwijl ik dat niet wil.
drdelta @pieterdebie28 juni 2018 14:14
Wat een onzin. Facebook zou gewoon dit soort data niet moeten delen. Het grootste gedeelte van de Facebook gebruikers heeft geen idee wat er met hun data gedaan wordt, en uitleg zal daar ook niet bij helpen, zoals jij zelf ook aangeeft.

Facebook zou haar gebruikers (en haar data) moeten beschermen tegen dit soort praktijken.
pieterdebie @drdelta28 juni 2018 14:23
Mijn punt is dat sommige mensen dergelijke apps hoger plaatsen dan hun privacy, lek of geen lek.
noway @drdelta28 juni 2018 23:14
En dat gebeurd al jaren niet.
En nog steeds zijn er miljarden gebruikers......ongelofelijk.
Basszje @fletnix2.028 juni 2018 13:09
Karma Karma idd met die irritante 'quizes'.
aval0ne @fletnix2.029 juni 2018 13:43
Gewoon alles van nametests blokkeren en je ziet er niets meer van in je tijdslijn.
Opperpanter2 28 juni 2018 12:10
De uitleg is wat summier, ook in de blog. Het lijkt een combinatie van CSRF en jsonp te zijn.
DirtyBird 28 juni 2018 14:09
Deze beste man vindt dus een lek waarmee enorm veel privacy gevoelige data kan worden verzameld en zn beloning is 4000? Ik dacht dat voor dergelijke omvangrijke lekken wel meer geld zou worden vrijgemaakt.
Uiteindelijk gaat het er toch om dat je mensen aanspoort ze op te zoeken, en ik kan me voorstellen dat daar heel veel tijd in kan gaan zitten. Voor 4k kun je dan beter gewoon een baan zoeken als it'er.
Tittah @DirtyBird28 juni 2018 14:35
bron: https://www.vrt.be/vrtnws...lootgesteld-door-populai/
Omdat De Ceukelaire zelf gevraagd heeft dat zijn beloning aan een goed doel wordt gegeven, verdubbelde Facebook het bedrag. Zo zal Facebook 8.000 dollar storten aan Freedom of The Press Foundation, een organisatie die onderzoeksjournalistiek stimuleert.
In damage control is FB blijkbaar veel beter dan in het beschermen van zijn/mijn gegevens...

edit: staat blijkbaar ook in het artikel |:(

[Reactie gewijzigd door Tittah op 22 juli 2024 19:25]

Musical-Memoirs 28 juni 2018 13:14
Ik vond het al eng hoeveel mensen constant aan die onzin quiz apps doen en iedere keer accepteren dat die apps al je data open plukt. Het enige wat je er voor terug krijgt is een resultaat dat nergens op slaat. Dit omdat de quiz + resultaten gewoon willekeurig uit de lucht worden gegrepen om ze snel mogelijk zo veel mogelijk verschillende vormen te maken van hun quiz. Voor iedere interesse groep zijn er wel een zooi varianten.
Onwetendheid war ze met al die verzamelde data doen is al eng, maar het idee dat de beveiliging van die data ook nog eens slecht geregeld was geeft al helemaal geen goed gevoel. Ben blij dat ik er nooit 1 gedaan heb. En hopelijk verdwijnt deze onzin, want de grote stroom aan quiz resultaat posts is 1 van de redenen dat ik Facebook compleet zat was en tegenwoordig nauwelijks gebruik.
iAR @Musical-Memoirs28 juni 2018 14:32
Ik begrijp ook niet waarom mensen hun horoscoop lezen want het is dikke onzin. Maar toch dient het voor vermaak. Dus verdwijnen zal het niet. Beperkt worden door regulering, hopelijk wel.

Maar is het dan ook niet gek dat je niets meer met Facebook doet... maar wel een account hebt, dat nog steeds gevuld wordt door alles wat je doet (via pixels en like-knoppen).
Musical-Memoirs @iAR28 juni 2018 17:37
Helaas ga ik er ook niet vanuit dat het verdwijnt. Ik zie alleen maar de trend dat er steeds meer van dit soort onzin bij komt. Daarnaast pushed Facebook ook nog eens alle irrelevant berichten in je gezicht met meldingen.

Dat Facebook iedereen volgt of je nou op Facebook zit, of welke site dan ook is al lang bekend. Maar dat kan je tegenhouden door cookies en trackers te blokkeren.
Dat sluit natuurlijk niet uit dat Facebook geen andere manieren heeft om mijn gegevens te verzamelen. Komt namelijk ook voor dat andere sites/apps simpelweg hun klantenbestand delen met Facebook. Maar of ze die gegevens nou aan een officieel profiel koppelen of een geheim profiel maakt dan ook weinig uit
RVervuurt @NinjaTrek289128 juni 2018 12:15
Dat screenshot heeft deze onderzoeker zelf gedeeld.

Zie ook de link aan het begin van het artikel: klik.

[Reactie gewijzigd door RVervuurt op 22 juli 2024 19:25]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq