Исследователь безопасности Инти Де Кекелайре (Inti De Ceukelaire) обнаружил в социальной сети Facebook приложение, которое в течение нескольких лет позволяло похитить персональные данные нескольких миллионов пользователей.
По словам специалиста, сайт NameTests[.]com, специализирующийся на викторинах, аудитория которого составляет порядка 120 млн пользователей в месяц, использует платформу приложений Facebook для быстрой регистрации.
Как и в случае с любым другим приложением Facebook, регистрация на сайте NameTests позволяет компании получать необходимую информацию о профиле пользователей Facebook. Как выяснил исследователь, сайт с викторинами допускает хищение данных пользователей через другие страницы, открытые в том же браузере.
Уязвимость содержится в web-сайте NameTests, который cуществует с конца 2016 года. В частности, проблема заключается в сохранении пользовательских данных в файле JavaScript. Кекелайре создал вредоносный сайт, с помощью которого смог получить данные пользователей приложения NameTests. Используя простой код, исследователь смог получить имена, фотографии, сообщения и списки друзей посетителей NameTests, принимавщих участие в викторинах.
В настоящее время владельцы сайта уже исправили проблему.
Исследователь опубликовал видео с демонстрацией атаки:

Источник: securitylab.ru