Facebook расследует брешь в безопасности, позволившую сторонним трекерам на JavaScript воровать данные пользователей, логинившихся на сайтах по кнопке Facebook. Эксплойт давал возможность собрать данные, включая имя, адрес электронной почты, возрастной диапазон, пол, местоположение и фото профиля. Неясно, что именно трекеры делали с этими данными, но некоторые из их разработчиков вроде Lytics зарабатывают на определении, использовании и продаже целевых аудиторий.



По данным Стивена Энглхардта (Steven Englehardt), инженера по защите частных данных Mozilla, и его соавторов из Принстонского центра политики информационных технологий, такие скрипты работают на 434 сайтах из миллиона топовых страниц.

Среди сайтов и сервисов, собиравших таким образом данные, в исследовании отмечены облачные серверы MongoDB. На концертном сайте BandsInTown был установлен скрипт, позволявший любым сайтам, использующим рекламную платформу Amplified advertising, идентифицировать пользователей по их аккаунтам в Facebook.

Представители социальной сети дали официальный ответ TechCrunch:
Скрапинг пользовательских данных прямо нарушает правила Facebook. Мы изучаем эту проблему, а также незамедлительно приняли меры, приостановив возможность связывания уникальных идентификаторов пользователей конкретных приложений с отдельными страницами профиля Facebook и работаем над установкой дополнительной аутентификации и ограничением запросов к профилям.

Скрытый текст
Scraping Facebook user data is in direct violation of our policies. While we are investigating this issue, we have taken immediate action by suspending the ability to link unique user IDs for specific applications to individual Facebook profile pages, and are working to institute additional authentication and rate limiting for Facebook Login profile picture requests.

В случае с MongoDB, компания ответила, что не знала о возможностях технологий третьих лиц получать данные пользователей Facebook: «Мы идентифицировали источник скрипта и отключили его».

Скрытый текст
We were unaware that a third-party technology was using a tracking script that collects parts of Facebook user data. We have identified the source of the script and shut it down

BandsInTown после получения письма от исследователей также принял меры.
BandsInTown не раскрывает несанкционированные данные третьим лицам, и после получения письма на тему исследования о потенциальной уязвимости в скрипте, запущенном на нашей платформе объявлений, мы быстро приняли соответствующие меры для полного устранения проблемы.

Скрытый текст
Bandsintown does not disclose unauthorized data to third parties and upon receiving an email from a researcher presenting a potential vulnerability in a script running on our ad platform, we quickly took the appropriate actions to resolve the issue in full.

Новые проблемы с безопасностью личных данных пользователей возникли в сложное для Facebook время. Марк Цукерберг признал утечку данных 87 миллионов пользователей в руки Cambridge Analytica, вице-президентом которой был возглавлявший президентскую кампанию Дональда Трампа Стив Бэннон. CEO Facebook пришлось два дня подряд по пять часов в день отвечать на вопросы в Конгрессе США.

Сейчас Facebook приводит правила к соответствию с законами Евросоюза и готовится к внешнему контролю со стороны властей США. В России компанию также ожидает проверка на соответствие требованиям действующего законодательства.

Комментарии (6)


  1. bugdesigner
    22.04.2018 15:56

    Никогда такого не было, и вот опять! Не везёт в последнее время Цукенбергу.


  1. sumanai
    22.04.2018 16:01

    По моему этот логин по определению приводит к утечке данных посещений с сайта в пользу FB, так что я не вижу смысла рассматривать утечки с самого FB, всё одно это вредная практика.


  1. solariserj
    22.04.2018 17:43

    A авторизацию в фэйсбуке вставляют везде где не лень, и на многих сайтах без авторизации не войти. Всегда старался обходить стороной такое так как закрадывались сомнения насчёт безопасности. Теперь вижу что опасения были не напрасны


    1. stalinets
      23.04.2018 01:43

      Есть один сайт, который требует авторизацию через фейсбук и своей формы регистрации не имеет. Ну, я сделал ему фейковую страницу в фейсбуке и захожу в эту связку (фейковый фейсбук + этот сайт) с отдельного браузера. Делов-то. А вообще маразм.


      1. dbagaev
        23.04.2018 02:24
        +1

        Отличная идея для стартапа: аккаунт в ФБ на десять минут, по аналогии с е-мейлами.


      1. T-362
        23.04.2018 15:17

        Скоро/уже можно будет даже в основном браузере — мозилла подсуетилась и сделала на основе механики контейнеров «загончик для фейсбука», изолирующий его с интеграцией, или можно пользоваться стандартными контейнерами изолируя без интеграции.