O login do Facebook permite que rastreadores online ocultos absorvam seus dados

O código de rastreamento de terceiros, usado em toda a Internet para rastrear o comportamento do usuário em sites, otimizar anúncios e outros fins, tem obtido informações de usuários do Facebook em sites que suportam o login por meio da plataforma de mídia social, relatam os pesquisadores de Princeton. Quando os usuários fazem login em sites usando o recurso de login do Facebook, os rastreadores podem pegar IDs de usuário do Facebook e ... Continue lendo O login do Facebook está permitindo que rastreadores online ocultos sugem seus dados

O login do Facebook permite que rastreadores online ocultos absorvam seus dados

O código de rastreamento de terceiros, usado em toda a Internet para rastrear o comportamento do usuário em sites, otimizar anúncios e outros fins, tem obtido informações do usuário do Facebook em sites que suportam o login por meio da plataforma de mídia social, Relatório de pesquisadores de Princeton .



Quando os usuários fazem login em sites usando o recurso de login do Facebook, os rastreadores podem obter IDs de usuários do Facebook e, em alguns casos, outras informações, como endereço de e-mail ou sexo, potencialmente sem o conhecimento dos operadores dos sites onde os rastreadores estão instalados, de acordo com os pesquisadores. .

ouvir através das paredes app grátis

[Q] uando um usuário concede a um site acesso ao seu perfil de mídia social, ele não está apenas confiando nesse site, mas também em terceiros incorporados a ele, escrevem Gunes Acar, Arvind Narayanan e Steven Englehardt, um engenheiro de privacidade da Mozilla que também pesquisa privacidade em Princeton.



Os pesquisadores identificaram sete sites que acessavam dados de usuários do Facebook e encontraram scripts para reunir essas informações de usuários em apenas 434 dos milhões de sites do Alexa.



Como o Bandsintown coleta dados do usuário por meio do login do Facebook em seu site e como terceiros podem acessar alguns desses dados por meio do código Bandsintown incorporado em outros sites [Imagem: Freedom-to-Tinker ]

Em uma instância em que rastreadores ocultos podem usar o login do Facebook para desanonimizar e rastrear visitantes, o site de listagem de shows Bandsintown (representado como tracker.com na imagem acima) pede aos usuários que façam login com o Facebook e dêem ao aplicativo Bandsintown do Facebook acesso ao seu perfil, cidade , curtidas, endereço de e-mail e atividade musical. Se esses usuários visitarem outros sites relacionados à música que contenham o produto de anúncio Amplified da Bandintown, incluindo lyrics.com, songlyrics.com e lyricsmania.com (representado por publisher.com na imagem), um iframe invisível então passa o ID do usuário para a incorporação local.

como conseguir um emprego na amazon

Assim, qualquer site malicioso poderia ter usado seu iframe para identificar os visitantes, escreveram os pesquisadores. Depois de ser notificado, Bandsintown removeu o script.



Esta não foi uma 'prática' ou uso pretendido deste script, e não temos conhecimento de qualquer uso indevido por terceiros, escreveu um porta-voz da empresa em um e-mail para Fast Company . Bandsintown não divulga dados não autorizados a terceiros, valorizamos a privacidade de nossos usuários e estamos comprometidos em cumprir os mais altos padrões de proteção de dados possíveis.

O relatório surge no momento em que o Facebook continua lutando contra as notícias de que a obscura empresa de dados políticos Cambridge Analytica conseguiu obter dados sobre milhões de usuários do Facebook por meio de um questionário psicológico.

Os pesquisadores de Princeton disseram que a exposição não intencional de dados do Facebook a terceiros não foi devido a um bug no recurso Login do Facebook. Em vez disso, é devido à falta de limites de segurança entre os scripts primários e de terceiros na web de hoje, eles escrevem.



O código de terceiros em execução em sites é visto há muito tempo como uma vulnerabilidade potencial. Os principais editores têm lutado com o código de publicidade externo, visto como necessário para seus resultados financeiros, às vezes injetando malware em páginas que de outra forma seriam inócuas. E o Grindr, o popular serviço de namoro gay, recentemente se desculpou por compartilhar dados confidenciais de maneira eficaz, como a localização dos assinantes e o status do HIV com provedores externos de análise de dados usados ​​para rastrear e otimizar seus aplicativos.

Ainda assim, existem medidas que o Facebook e outros provedores de login social podem tomar para evitar abusos, escrevem os pesquisadores. O uso da API pode ser auditado para revisar como, onde e quais partes estão acessando os dados de login social. O Facebook também pode impedir a pesquisa de imagem de perfil e IDs globais do Facebook por IDs de usuário com escopo de aplicativo. Também pode ser o momento certo para disponibilizar o Login Anônimo com o Facebook a seguir seu anúncio quatro anos atrás.

como assistir eurovision na américa 2018

Um porta-voz do Facebook não respondeu imediatamente a um pedido de comentário.

Relacionado: Pesquisadores descobriram vazamento de dados no software de anúncios do Facebook