Een populaire Facebook-app met meer dan 120 miljoen maandelijkse gebruikers bleek allerlei gegevens van deze gebruikers te lekken. Dat meldt de Belgische beveiligingsonderzoeker Inti De Ceukelaire in een blogposting op Medium. Het gaat om de quiz-app van Nametests.com.

De Ceukelaire ontdekte dat het voor derde partijen mogelijk was om data van gebruikers op te vragen, zoals Facebook-ID, naam, geboortedatum, leeftijd, geslacht, tijdszone en een token. Met dit token kon toegang worden verkregen tot foto's, berichten en vrienden van de gebruiker. Normaliter horen websites dit niet te kunnen. In dit geval waren de gegevens echter in JavaScript verpakt.

JavaScript kan met andere websites worden gedeeld. Aangezien NameTest de persoonlijke data van gebruikers in een JavaScript-bestand weergaf, had elke website dit bestand kunnen benaderen. Een gebruiker van de app had in dit geval alleen een kwaadaardige website moeten bezoeken. De gegevens waren zelfs opvraagbaar wanneer gebruikers de app hadden verwijderd.

De Ceukelaire waarschuwde Facebook op 22 april over de app. Een maand later kreeg hij te horen dat het onderzoek drie tot zes maanden in beslag kon nemen. Een maand later had Nametests.com echter een aanpassing doorgevoerd zodat derde partijen niet langer meer bij de persoonlijke data van gebruikers konden. Facebook beloonde de Belgische onderzoeker met 4.000 dollar voor zijn melding. De Ceukelaire besloot het bedrag aan de Freedom of the Press te doneren. Aangezien het om een goed doel gaat verdubbelde Facebook de donatie naar 8.000 dollar. In onderstaande video wordt de kwetsbaarheid gedemonstreerd.