En nylig rapport udført af Nightwatch cybersikkerhed indikerer, at en tredjepart Android app med Facebook API adgang blev kopiere brugerdata i opbevaring uden for Facebook. Desuden, dataene blev lagret usikkert to steder.
Android App med Facebook API Kopieret brugerdata
Spørgsmålet blev rapporteret til Facebook via deres data misbrug Bounty-program, og lagerpladser blev sikret i november sidste år. Som selve app, det blev fjernet fra Facebook men den Android-version er stadig tilgængelig i Google Play. Den værste del er, at antallet af brugere er berørt af dette brud er ukendt.
Forskerne kom på tværs af tvivlsomme Android applikation i Google Play butik i september sidste år, et par måneder efter at Facebook iværksatte sin Datamisbrugsmængde. Den app hævdede, at det gav ekstra funktionalitet til Facebook-brugere ikke er tilgængelige via platformen. angiveligt, app blev downloadet mere end 1, 000,000 gange. Efter forskerne hentet og analyseret det, de fandt, at det brugte Facebook API'er til at få adgang til data for den loggede bruger.
Den app kopierede selv dataene til steder uden for Facebook. Mindst to af de steder - en Firebase database og en API server - ikke beskytter dataene korrekt, og det var tilgængelig uden godkendelse og uden HTTPS, hedder det i rapporten. Naturligvis, dette smuthul kan tillade angribere at nemt downloade brugerdata akkumuleret af den app.
Ifølge rapporten:
Under vores behandling af ansøgningen, vi placeret en Firebase database, ansøgningen blev kommunikerer med.
Facebooks data Misbrug Bounty program belønner folk for at rapportere misbrug af data ved applikationsudviklere. Data Misbrug Bounty er inspireret af Facebooks bug bounty program, det sociale netværk bruger til at afdække og adresse sikkerhedsspørgsmål.
Programmet er afgjort ”inspireret” af Cambridge-Analytica skandalen og de følgende CubeYou begivenheder, hvor quiz apps blev brugt til at høste brugernes oplysninger.
Nightwatch Cybersecurity's opdagelse er kvalificeret i henhold til betingelserne i Facebook Data Abuse Bounty-programmet, og der er modtaget en dusørbetaling, forskerne sagde.