El famoso “¿qué princesa de Disney eres?” ha filtrado tus datos de Facebook

Software

Seguro que alguna vez te has cruzado en Facebook con alguno de estos test del estilo ‘¿Qué princesa de Disney eres?’. Había cientos de este tipo de cuestionarios que, en realidad, eran completamente absurdos. Pues con esto, nametests.com consiguió alcanzar a nada menos que 120 millones de usuarios mensuales hasta que finalmente eliminaron su aplicación. La información de los usuarios que utilizaron sus test se ha filtrado: desde finales de 2016, toda la información de sus usuarios ha estado expuesta en el código JavaScript.

Facebook, hasta que tuvieron el problema de Cambridge Analytica, era mucho más abierta. Las aplicaciones conectadas a los perfiles de la red social podían extraer todo tipo de información, algo que ha acabado suponiendo un duro golpe contra la compañía de Mark Zuckerberg. Estas apps, de nametests.com, efectivamente toman también datos de usuario extraídos directamente de su perfil en Facebook. Y como decíamos, alcanzaron un volumen de nada menos que 120 millones de usuarios cada mes. De tal modo que la información de esta ingente cantidad e personas ha estado expuesta y al alcance de cualquiera.

Nametests.com ha estado exponiendo los datos de 120 millones de usuarios de Facebook con sus ‘test chorra’ del estilo ‘¿qué princesa de Disney eres?’

En esta dirección URL, en caso de haber conectado con la app de nametests.com, con los cuestionarios del estilo del que anteriormente comentábamos, es donde aparece la información de usuario. Lo curioso es que esta dirección URL ha estado exponiendo de forma pública tal información, y el token que permite acceder no solo al género, la edad y otros datos, sino también a los mensajes publicados e incluso a las fotografías colgadas en la red social. Lo normal sería que esta información no estuviera disponible, a pesar de que sea algo que de forma interna utiliza la aplicación en su ‘relación’ con el usuario y la red social.

Entre los datos expuestos están el identificador de usuario en la red social, nombre y apellidos, edad, fecha de nacimiento, género, fotografías, publicaciones, amigos y un largo etcétera. Todo ello disponible para consultar por parte de cualquier otro dominio o página web.

Actualización

Facebook ha resuelto el problema en colaboración con los desarrolladores de la app. Dado el cambio que han llevado a cabo, los usuarios de sus apps tendrán que conceder acceso de nuevo a su información, ahora con un acceso controlado.

Data Abuse Bounty report results in fixed third-party bug We wanted to call out a fix by nametests.com that happened…

Publicada por Facebook Bug Bounty en Jueves, 28 de junio de 2018

Escrito por Carlos González

Fuente > medium