Persondata om millioner av Facebook-brukere kan potensielt ha blitt lekket fra nettstedet Nametests.com, som det tyske selskapet Social Sweethearts står bak. Nettstedet er tett integrert med Facebook.
Nametests.com består av en rekke enkle og nokså tullete «personlighetstester», slik som «What Does Your Child's Name Mean To You?», «What Would You Look Like As An Orangutan?» og «What Are Your True Qualities?».
Testene er basert på data som Facebook-brukere gir Nametests.com tilgang til.
JavaScript-fil
Den etiske hackeren Inti De Ceukelaire fra Belgia oppdaget i april at ethvert nettsted kunne inkludere en spesiell JavaScript-fil på Namestests.com-nettstedet på sine egne sider.
Dersom en innlogget Facebook-bruker besøkte et nettsted som utnyttet denne filen, ville nettstedet få tilgang til Facebook-brukerens navn, fødselsdato og oppholdsland, men også en tilgangskode («token») som ga tilgang til alle de andre brukerdataene som Facebook-brukeren har gitt Namestests.com tilgang til, slik som bilder, statusoppdateringer og innlegg, samt venner.
De Ceukelaire oppgir i en artikkel om sårbarheten at Nametests.com skal ha mer enn 120 millioner månedlige brukere. Antallet berørte brukere kan likevel ha vært langt høyere. For også dataene til de som ikke har brukt Nametests.com på flere år, men fortsatt har latt applikasjonen ha tilgang til Facebook-kontoen sin, har vært tilgjengelige på samme måte.
Du bør skru av tilgangen
Det har selvfølgelig ingen hensikt å la applikasjoner som du ikke lenger bruker, ha tilgang til Facebook-profilen din. Tilgangen kan fjernes i innstillingene til Facebook, på denne siden. Trolig er det mange som aldri har gjort dette.
I videoen nedenfor demonstrerer De Ceukelaire hvordan et nettsted han selv opprettet, kunne hente ut brukerdata fra vilkårlige Facebook-brukere som besøkte nettstedet. I demoen bruker De Ceukelaire sin egen Facebook-bruker.
Selv om mange lar alle få tilgang til hele Facebook-profilen sin, foretrekker nok de fleste at det de deler, bare er tilgjengelig for utvalgte personer, for eksempel vennene. Via Nametests.com kunne hvem som helst potensielt få tilgang til personopplysninger om svært mange brukere.
Om noen andre enn De Ceukelaire faktisk har oppdaget og utnyttet denne muligheten før sårbarheten ble lukket, er ukjent. Men som alltid, kan en ikke se bort fra at det har skjedd. Den aktuelle filen skal i alle fall ha vært i bruk siden januar 2017.
Fikk dusør
De Ceukelaire varslet Facebook om funnet sitt i april. Facebook skal ha oppgitt at det kan ta tre til seks måneder å etterforske slike problemer, men den 25. juni oppdaget De Ceukelaire at den aktuelle filen hos Nametests.com var blitt endret, slik at personopplysningene ikke lenger er tilgjengelig for tredjeparter.
Facebook publiserte et eget innlegg om det hele, hvor det opplyses at selskapet har trukket tilbake tilgangskoden for alle på Facebook som har brukt Nametests.com. De som fortsatt ønsker å bruke disse testene, må autorisere tilgangen på nytt.
De Ceukelaire ble tildelt en dusør på 4000 dollar for oppdagelsen. Da han fortalte at han ville donere beløpet til Freedom of the Press Foundation, valgte også Facebook å donere et tilsvarende beløp til den samme stiftelsen.