Хакер вскрыл самое популярное приложение для тестов в Facebook

Бельгийский хакер Инти де Кукелере обнаружил уязвимость в одном из самых популярных приложений для тестирования, интегрированном в соцсеть Facebook — NameTests. Им пользуются десятки миллионов человек.

Приложение, как и все остальные интегрированные в Facebook сервисы, получало личные данные пользователей, которые проходили различные тесты развлекательного характера.

Эти данные хранились в таком виде, что «любая третья сторона могла их запросить», утверждает Инти де Кукелере.

Он создал сайт, через который ради проверки вытащил из NameTests собственные персональные данные (например, фотографии).

Эти данные оставались доступными в NameTests даже после того, как хакер аннулировал связи с этим приложением в Facebook.

Инти де Кукелере заинтересовался интеграцией соцсети с различными сторонними ресурсами после того, как разразился скандал с утечкой данных миллионов пользователей Facebook.

Хакер утверждает, что уведомил администрацию соцсети об обнаруженной им уязвимости еще 22 апреля, а через неделю ему ответили, что «изучают информацию».

В середине мая Инти де Кукелере снова отправил запрос в Facebook — и неделю спустя получил ответ, что на изучение проблемы специалистам соцсети потребуется от трех до шести месяцев.

25 июня сервис NameTests изменила способ обработки данных, закрыв уязвимость.

При этом компания заявила хакеру, что не осведомлена о возможностях использования получаемых ею личных данных пользователей Facebook.

После этого Инти де Кукелере сообщил руководству Facebook об устранении уязвимости.

Ему ответили, что уязвимость была устранена в порядке реагирования на его обращение, и согласились выдать ему вознаграждение — 8 тысяч долларов (они по просьбе хакера были переведены на счет правозащитной организации Freedom of the Press Foundation).

На просьбы СМИ объяснить затяжную работу по устранению уязвимости в Facebook заявили лишь, что получили первое сообщение от хакера не 22 мая, как он утверждал, а 27-го.