Хотя Facebook еще не полностью вышел из скандала с нарушением данных Cambridge Analytica, он все же застрял в другом деле о злоупотреблении данными. To Tinker», организованный Центром политики в области информационных технологий Принстонского университета, обнаружил, что скрытые трекеры от третьих лиц, встроенные в веб-сайты с функцией Войти через Facebook, высасывают данные пользователей больше, чем они намереваются отдать.
Freedom to Tinker
Facebook подтвердил сообщение и заявил, что расследует этот вопрос. Сторонние JavaScript-коды, скрытые на веб-сайтах с возможностью входа через Facebook, собирают информацию о пользователях, такую как имя, возраст, пол, адрес электронной почты, фото профиля, из их профилей Facebook.
Цель этого сбора данных до сих пор неизвестна. однако компании, стоящие за этими трекерами, такие как Lytics и ProPS, продают услуги по монетизации издателей на основе собранных пользовательских данных.
Согласно отчету о безопасности, эти вредоносные JavaScript-коды были обнаружены на 434 из 1 миллиона самых популярных веб-сайтов, предлагающих функция входа в Facebook, включая MongoDB.
После того, как уязвимость была доведена до сведения MongoDB, провайдер облачного хранилища опубликовал заявление, в котором говорилось:
«Мы не знали, что сторонняя технология использовала скрипт отслеживания, который собирает части пользовательских данных Facebook. Мы определили источник сценария и отключили его».
Тем временем было обнаружено, что концертный сайт BandsInTown передает данные, собранные с помощью «Войти через Facebook», на веб-сайты, на которых установлен его рекламный продукт Amplified. Эксплойт создал невидимый iframe BandsInTown, который загружался на сайты, принося с собой все пользовательские данные, которые затем выщелачивались встроенными JavaScript. В настоящее время BandsInTown устранила уязвимость.
Исследователи отметили, что Facebook нельзя винить в этом, поскольку в его безопасности не было дыры, ответственной за брешь.
Свобода экспериментировать
Это непреднамеренное раскрытие данных Facebook третьим лицам не связано с ошибкой в функции входа в Facebook. Скорее, это связано с отсутствием границ безопасности между собственными и сторонними скриптами в современной сети, — говорят исследователи.
Тем не менее, Facebook и другие поставщики социальных сетей могут злоупотребление: можно проверить использование API, чтобы проверить, как, где и какие стороны получают доступ к данным для входа в социальные сети. Facebook также может запретить поиск изображения профиля и глобальных идентификаторов Facebook по идентификаторам пользователей в области приложения. Возможно, пришло время сделать анонимный вход через Facebook доступным после объявления об этом четыре года назад.
Facebook работает над этой проблемой, и в заявлении для TechCrunch представитель Facebook сказал:
Очистка данных пользователей Facebook является прямым нарушением нашей политики. Пока мы изучаем эту проблему, мы предприняли немедленные действия, приостановив возможность связывания уникальных идентификаторов пользователей для определенных приложений с отдельными страницами профиля Facebook, и работаем над введением дополнительной аутентификации и ограничением скорости для запросов изображения профиля входа в Facebook.
Несмотря на то, что Facebook внес много изменений в свой API для защиты данных пользователей, он по-прежнему не может остановить такие практики злоупотребления данными. Это еще больше подкрепляет и без того хрупкое дело Facebook о том, что третьи лица могут получить доступ к данным пользователей.
Когда пользователь предоставляет веб-сайту доступ к своему профилю в социальной сети, он не только доверяет этому веб-сайту, но и третьи лица, встроенные в этот сайт, — пишет исследователь Стивен Энглхардт.
Похоже, что обновлений недостаточно, и Facebook необходимо внести дополнительные изменения в свои политики, чтобы разработчики не могли собирать данные для входа в систему для конкретных приложений.
Facebook, который уже был в горячей воде, должно быть, потеет после этого разоблачения, поскольку в последнее время сеть уже подвергалась критике из-за ее слабой политики конфиденциальности. Недавние инциденты с нарушением данных насторожили пользователей, которые теперь очень обеспокоены своими данными и ставят под сомнение их безопасность. Facebook говорит, что изучает проблему, и мы надеемся, что на этот раз он залатает все дыры раз и навсегда.
Читайте также: Всего 87 миллионов пользователей пострадали от скандала с Cambridge Analytica
