Главная / Пресс-центр / Новости технологий

Новости технологий

3 Июля 2018

Серьезные проблемы шуточных тестов

Популярное Facebook-приложение NameTests устранило проблему, позволявшую неавторизованный доступ к данным пользователей. NameTests представляет собой, по сути, инструмент для убивания времени: программа предлагает пользователям пройти шутливые тесты, вроде «какое вы дерево», «кем вы были бы в романах Агаты Кристи» и т.д. При этом популярность приложения весьма велика: его аудитория составляет порядка 120 миллионов человек. Исследователь проблем безопасности Анти де Секелер решил выяснить, насколько защищена их конфиденциальность – и сделал неприятное открытие.

Исследователь прошел тест под названием «Кем вы были бы из диснеевских принцесс». Какой принцессой он стал, не так важно, важнее то, что де Секелер обнаружил возможность утечки данных пользователей, включая их имена, фото и списки контактов. Информация о любом пользователе, проходившем тест, передавалась на сайт nametests.com в формате javascript вместе с аутентификационным токеном, который мог быть использован для полного доступа к данным. Таким образом, данные становились доступны другим сайтам, открытым в том же браузере. Исследователь подчеркнул, что в нормальной ситуации механизмы браузера блокируют такую возможность, но в случае с nametests обойти этот защитный механизм не составляло труда. Представители NameTests уже сообщили об исправлении ситуации и заверили, что нет никаких указаний на то, что какие-либо персональные данные пользователей приложения оказались похищены третьими сторонами.

Возврат к списку

Серьезные проблемы шуточных тестов