Логин через Facebook на сторонних сайтах приводил к утечке данных
Facebook расследует брешь в безопасности, позволившую сторонним трекерам на JavaScript воровать данные пользователей, логинившихся на сайтах по кнопке Facebook. Эксплойт давал возможность собрать данные, включая имя, адрес электронной почты, возрастной диапазон, пол, местоположение и фото профиля. Неясно, что именно трекеры делали с этими данными, но некоторые из их разработчиков вроде Lytics зарабатывают на определении, использовании и продаже целевых аудиторий.
По данным Стивена Энглхардта (Steven Englehardt), инженера по защите частных данных Mozilla, и его соавторов из Принстонского центра политики информационных технологий, такие скрипты работают на 434 сайтах из миллиона топовых страниц.
Среди сайтов и сервисов, собиравших таким образом данные, в исследовании отмечены облачные серверы MongoDB. На концертном сайте BandsInTown был установлен скрипт, позволявший любым сайтам, использующим рекламную платформу Amplified advertising, идентифицировать пользователей по их аккаунтам в Facebook.
Представители социальной сети дали официальный ответ TechCrunch:
Скрапинг пользовательских данных прямо нарушает правила Facebook. Мы изучаем эту проблему, а также незамедлительно приняли меры, приостановив возможность связывания уникальных идентификаторов пользователей конкретных приложений с отдельными страницами профиля Facebook и работаем над установкой дополнительной аутентификации и ограничением запросов к профилям.
Scraping Facebook user data is in direct violation of our policies. While we are investigating this issue, we have taken immediate action by suspending the ability to link unique user IDs for specific applications to individual Facebook profile pages, and are working to institute additional authentication and rate limiting for Facebook Login profile picture requests.
В случае с MongoDB, компания ответила, что не знала о возможностях технологий третьих лиц получать данные пользователей Facebook: «Мы идентифицировали источник скрипта и отключили его».
We were unaware that a third-party technology was using a tracking script that collects parts of Facebook user data. We have identified the source of the script and shut it down
BandsInTown после получения письма от исследователей также принял меры.
BandsInTown не раскрывает несанкционированные данные третьим лицам, и после получения письма на тему исследования о потенциальной уязвимости в скрипте, запущенном на нашей платформе объявлений, мы быстро приняли соответствующие меры для полного устранения проблемы.
Bandsintown does not disclose unauthorized data to third parties and upon receiving an email from a researcher presenting a potential vulnerability in a script running on our ad platform, we quickly took the appropriate actions to resolve the issue in full.
Новые проблемы с безопасностью личных данных пользователей возникли в сложное для Facebook время. Марк Цукерберг признал утечку данных 87 миллионов пользователей в руки Cambridge Analytica, вице-президентом которой был возглавлявший президентскую кампанию Дональда Трампа Стив Бэннон. CEO Facebook пришлось два дня подряд по пять часов в день отвечать на вопросы в Конгрессе США.
Сейчас Facebook приводит правила к соответствию с законами Евросоюза и готовится к внешнему контролю со стороны властей США. В России компанию также ожидает проверка на соответствие требованиям действующего законодательства.