Бельгийский хакер Инти де Кукелере сообщил, что в апреле обнаружил крупную уязвимость в приложении для прохождения тестов в фейсбуке Nametests, которым пользуются десятки миллионов человек. По его словам, приложение получало доступ к личным данным пользователей и хранило их в таком виде, что «любая третья сторона могла их запросить». Для проверки своей гипотезы Кукелере создал сайт, который успешно смог получить через Nametests его же личные данные (в том числе, к примеру, фотографии) — причем даже после удаления приложения.

Видео Инти де Кукелере об уязвимости в Nametests
Inti De Ceukelaire

Кукелере утверждает, что занялся изучением уязвимостей после того, как Facebook на фоне утечки данных миллионов пользователей запустилпрограмму поиска неправомерного использования данных за вознаграждение.

По словам хакера, он сообщил о своей находке в Facebook 22 апреля. 30-го ему ответили, что изучают информацию. В середине мая он снова написал в Facebook — и через неделю получил ответ, что на расследование проблемы потребуется от трех до шести месяцев.

25 июня Кукелере, по собственным словам, заметил, что Nametests изменили способ обработки данных, закрыв уязвимость. В самой компании ему заявили, что не знают о случаях ее использования. Хакер написал в Facebook об устранении уязвимости; ему ответили, что это произошло благодаря его обращению, и согласились по его просьбе перевести его вознаграждение (восемь тысяч долларов) организации Freedom of the Press Foundation.

Facebook подтвердил изданию Techcrunch, что после обращения участника программы была устранена уязвимость в приложении Nametests. В компании отказались ответить, почему это заняло так много времени, но указали, что получили первое сообщение от него не 22-го, а 27 апреля.

Нужно задаться вопросом, насколько проверка компанией Facebook всех приложений нацелена для снижения ущерба имиджа брэнда — с учетом расслабленного ответа компании на сообщение об уязвимости в программе с 120 миллионами пользователей в месяц, полученное в разгар скандала с Cambridge Analytica (англ. яз.).

TECHCRUNCH