По данным Стивена Энглхардта (Steven Englehardt), инженера по защите частных данных Mozilla, и его соавторов из Принстонского центра политики информационных технологий, такие скрипты работают на 434 сайтах из миллиона топовых страниц.
Среди сайтов и сервисов, собиравших таким образом данные, в исследовании отмечены облачные серверы MongoDB. На концертном сайте BandsInTown был установлен скрипт, позволявший любым сайтам, использующим рекламную платформу Amplified advertising, идентифицировать пользователей по их аккаунтам в Facebook.
Представители социальной сети дали официальный ответ TechCrunch:
Скрапинг пользовательских данных прямо нарушает правила Facebook. Мы изучаем эту проблему, а также незамедлительно приняли меры, приостановив возможность связывания уникальных идентификаторов пользователей конкретных приложений с отдельными страницами профиля Facebook и работаем над установкой дополнительной аутентификации и ограничением запросов к профилям.
Scraping Facebook user data is in direct violation of our policies. While we are investigating this issue, we have taken immediate action by suspending the ability to link unique user IDs for specific applications to individual Facebook profile pages, and are working to institute additional authentication and rate limiting for Facebook Login profile picture requests.
В случае с MongoDB, компания ответила, что не знала о возможностях технологий третьих лиц получать данные пользователей Facebook: «Мы идентифицировали источник скрипта и отключили его».
We were unaware that a third-party technology was using a tracking script that collects parts of Facebook user data. We have identified the source of the script and shut it down
BandsInTown после получения письма от исследователей также принял меры.
BandsInTown не раскрывает несанкционированные данные третьим лицам, и после получения письма на тему исследования о потенциальной уязвимости в скрипте, запущенном на нашей платформе объявлений, мы быстро приняли соответствующие меры для полного устранения проблемы.
Bandsintown does not disclose unauthorized data to third parties and upon receiving an email from a researcher presenting a potential vulnerability in a script running on our ad platform, we quickly took the appropriate actions to resolve the issue in full.
Новые проблемы с безопасностью личных данных пользователей возникли в сложное для Facebook время. Марк Цукерберг признал утечку данных 87 миллионов пользователей в руки Cambridge Analytica, вице-президентом которой был возглавлявший президентскую кампанию Дональда Трампа Стив Бэннон. CEO Facebook пришлось два дня подряд по пять часов в день отвечать на вопросы в Конгрессе США.
Сейчас Facebook приводит правила к соответствию с законами Евросоюза и готовится к внешнему контролю со стороны властей США. В России компанию также ожидает проверка на соответствие требованиям действующего законодательства.
Комментарии (6)
sumanai
22.04.2018 16:01По моему этот логин по определению приводит к утечке данных посещений с сайта в пользу FB, так что я не вижу смысла рассматривать утечки с самого FB, всё одно это вредная практика.
solariserj
22.04.2018 17:43A авторизацию в фэйсбуке вставляют везде где не лень, и на многих сайтах без авторизации не войти. Всегда старался обходить стороной такое так как закрадывались сомнения насчёт безопасности. Теперь вижу что опасения были не напрасны
stalinets
23.04.2018 01:43Есть один сайт, который требует авторизацию через фейсбук и своей формы регистрации не имеет. Ну, я сделал ему фейковую страницу в фейсбуке и захожу в эту связку (фейковый фейсбук + этот сайт) с отдельного браузера. Делов-то. А вообще маразм.
dbagaev
23.04.2018 02:24+1Отличная идея для стартапа: аккаунт в ФБ на десять минут, по аналогии с е-мейлами.
T-362
23.04.2018 15:17Скоро/уже можно будет даже в основном браузере — мозилла подсуетилась и сделала на основе механики контейнеров «загончик для фейсбука», изолирующий его с интеграцией, или можно пользоваться стандартными контейнерами изолируя без интеграции.
bugdesigner
Никогда такого не было, и вот опять! Не везёт в последнее время Цукенбергу.