脸书再面临“隐私”考验 问答应用泄露用户信息

据美国“侨报网”7月3日报道，脸书上一个专门回答“你最像哪位迪士尼公主”等问题的问答应用程序被爆泄露了约1.2亿用户的个人信息。

据美国福克斯新闻报道，来自Nametests网站的第三方问答应用程序以不负责任的方式存储了用户的个人信息，所有数据是通过一个公共的Javascript文件进行流通，而其他网站在理论上是可以随意访问的。

来自比利时的安全研究人员库柯勒尔(De Ceukelaire)最先发现了这一问题，他指出，Nametests将获取的脸书用户信息显示在可访问的外部网页上，理论上可以被任何发出请求的第三方网站所利用。

安全人员也发表了一篇博客，详细描述了Javascript文件会如何危及Nametest网站用户的隐私。

文章指出，任何第三方网站或以开发Javascript文件来查看任何持有脸书账号的访问者信息，不仅可以截获他们在脸书上的简介，还包括姓名、年龄、出生日期和性别等详细信息。

这名安全人员还在Youtube上传了一段解说视频，并展示了他是如何采用自己创建的恶意网站攻破了Nametests的漏洞，并获取了访客的脸书个人主页资料。

他指出，在正常情况下，其他网站不应该能够访问这些信息，而导致这一漏洞的原因可能是源于“菜鸟级的编程错误”，而这些信息从2016年底起就一直处于曝光状态。

他表示，如果把Javascript文件改成JSON文件，就可以修复上述问题，而目前NameTests也正在这么做。对于普通用户而言，唯一防止信息泄露的办法就是手动删除cookies。他还建议脸书用户，为了确保安全，最好删除那些已不再使用的应用程序。

对此，Nametests网站回应称，已联合脸书解决了这一问题，且并未发现任何用户信息遭到窃取和滥用。而库柯勒尔指出，脸书花了两个多月才完成调查，最终修补了这一漏洞。在此期间，来自NameTests的这一问答应用程序却仍在运行。

此前，脸书涉及8700万用户信息泄露并被剑桥分析公司滥用的事件还未平息，该社交媒体上的第三方应用程序又被爆出恐导致1.2亿用户信息泄露的问题，看来脸书还要经历一系列的“隐私”考验。