Le site nametests.com permettait d’accéder à toutes les données de votre profil facilement
C’est Inti De Ceukelaire, un chercheur éclairé, qui s’est penché sur le site et a découvert la faille.
Le site de quiz Facebook populaire nametests permettait depuis des années d’accéder facilement à de nombreuses informations privées de votre profil comme indiqué ci-dessous. ce sont plus de 120 millions d’utilisateurs mensuels qui sont touchés et supprimer les autorisations de l’application ne réglait pas le problème (il fallait manuellement supprimer les cookies du site).
Normalement, les sites web empêchent d’accéder à ce genre d’information mais le code était ici entouré par du Javascript qui est une exception aux règles de sécurité (Javascript ayant la volonté d’être facilement partagé entre sites Web).
De Ceukelaire a même créé un site qui se connectait à l’application nametests et montre dans une vidéo comment toutes les données sont récupérées (et la liste est impressionnante) :
Ce qu’on voit dans la vidéo peut être fait par n’importe quel site tiers et quand on sait la popularité du site (120 millions d’utilisateurs mensuels et des dizaines de pages différentes avec plusieurs millions de like), il est difficile d’imaginer le nombre d’utilisateurs qui ont pu être touchés.
La faille était existante depuis au moins la fin 2016 et il n’y a aucune manière de vérifier si nametests était au courant de cette faille ou si c’était une simple erreur de débutant de leur part.
Le site a heureusement réglé le problème et la faille n’est plus. Ils ont aussi annoncé qu’avec leurs données actuelles, ils n’ont trouvé aucune preuve d’abus par des sites tiers.
Pour plus d’informations sur cette faille, voici le billet officiel du chercheur.
