Painel superior:o site da Bandsintown (representado como tracker.com) permite que os visitantes aprendam sobre os shows locais e sigam artistas de seu interesse. Para seguir um artista, os usuários são obrigados a fazer login com o Facebook e dar ao aplicativo Bandsintown do Facebook acesso ao seu perfil, cidade, gosta, endereço de e-mail, e atividade musical. Neste ponto, o Bandsintown tem acesso aos tokens de autenticação necessários para acessar as informações da conta do Facebook. Painel inferior:Bandsintown oferece um serviço de publicidade chamado “Amplificado”, que está presente em muitos dos principais sites relacionados à música, incluindo lyrics.com, songlyrics.com e lyricsmania.com. Quando um usuário do Bandsintown acessa um site que incorpora o produto de publicidade Amplified do Bandsintown, o script de publicidade incorpora um iframe invisível que se conecta ao aplicativo Bandsintown do Facebook usando os tokens de autenticação estabelecidos anteriormente, e pega o ID do Facebook do usuário. O iframe então passa o ID do usuário de volta para o script de incorporação. Crédito:Freedom to Tinker
Rastreadores online ocultos dificilmente estão seguros em seu esconderijo, não depois das manchetes desta semana para histórias sobre como as informações dos usuários do Facebook podem ser roubadas. As informações podem ser obtidas em diversos sites que suportam o login na plataforma social.
Muitos sites oferecem "login com o Facebook", mas os pesquisadores da Universidade de Princeton encontram aqui algo com que se preocupar. Business Insider , um dos inúmeros sites que dão uma olhada nas descobertas dos pesquisadores de Princeton, explicou como "os rastreadores podem coletar dados do usuário, como foto de perfil, nome, endereço de e-mail, era, e gênero - provavelmente muito mais do que as pessoas pretendem revelar quando fazem login em sites usando o Facebook. "
Voltando à estaca zero, foram os pesquisadores de segurança da Freedom to Tinker cujas descobertas chamaram a atenção dos observadores de tecnologia.
Liberdade para mexer é hospedado pelo Centro de Política de Tecnologia da Informação de Princeton; olha para as tecnologias digitais na vida pública. Rastreadores de terceiros abusam do login do Facebook, eles relataram na quarta-feira. Não há como adoçar; o post chamou de "coleta de dados sub-reptícios por scripts de terceiros."
O resultado é a exfiltração de identificadores pessoais de sites por meio do "login com o Facebook" e outras APIs de login social.
De acordo com Liberdade para mexer , eles não podem dizer como os rastreadores usam as informações que coletam, mas eles podem examinar seu material de marketing para entender como ele pode ser usado - por exemplo, coleta de dados para ajudar os editores a monetizar melhor seus usuários.
Os pesquisadores discutiram tipos de eventos. Os pesquisadores identificaram sete terceiros que acessavam dados de usuários do Facebook, e encontraram um terceiro que usa seu próprio "aplicativo" do Facebook para rastrear usuários na web.
Liberdade para mexer A postagem afirma que "Esta exposição não intencional de dados do Facebook a terceiros não é devido a um bug no recurso de login do Facebook. é devido à falta de limites de segurança entre os scripts primários e de terceiros na web de hoje. "
Escrevendo em TechCrunch , Josh Constine pensou que "o Facebook poderia ter identificado esses rastreadores e evitado essas explorações com auditoria de API suficiente."
Não cometa erros, no entanto, a questão de rastrear usuários sem seu consentimento direto ou mesmo conhecimento é uma questão que não reside apenas no Facebook, como vários observadores apontaram em seus comentários sobre as descobertas da equipe de Princeton. Também, os pesquisadores limitaram as investigações ao Login do Facebook porque era o SDK social mais amplamente usado na web - não porque seja o único que envolve essa questão mais ampla de rastreamento.
Como afirmado em Liberdade para mexer , "Nesta postagem, nos concentramos em sites que usam o login do Facebook, mas as vulnerabilidades que descrevemos provavelmente existem para a maioria dos provedores de login social e em dispositivos móveis. "
TechCrunch :Existem outros gigantes da tecnologia que dependem dos dados do usuário e operam plataformas de desenvolvedor que podem ser difíceis de policiar.
"Zuckerberg é um alvo fácil porque o fundador do Facebook ainda é o CEO, permitindo que críticos e reguladores o culpassem pelas falhas da rede social. Mas qualquer empresa que joga rápido e solta com os dados do usuário deve estar suando. "
Princeton tinha algumas recomendações a fazer sobre maneiras futuras de lidar com questões de privacidade. "Ainda, existem etapas que o Facebook e outros provedores de login social podem seguir para evitar abusos:o uso da API pode ser auditado para verificar como, Onde, e quais partes estão acessando os dados de login social. O Facebook também pode impedir a pesquisa de imagem de perfil e IDs globais do Facebook por IDs de usuário com escopo de aplicativo. Também pode ser o momento certo para disponibilizar o Login Anônimo com o Facebook, após seu anúncio há quatro anos. "
O que o Facebook diz sobre os relatórios de que os usuários são rastreados? Constine relatou que "o Facebook confirma para TechCrunch que está investigando um relatório de pesquisa de segurança que mostra que os dados do usuário do Facebook podem ser capturados por rastreadores JavaScript de terceiros incorporados em sites que usam o Login com Facebook. "
Constine continuou, dizendo que "um porta-voz do Facebook agora nos diz 'A coleta de dados de usuário do Facebook viola diretamente nossas políticas. Enquanto investigamos esse problema, tomamos medidas imediatas ao suspender a capacidade de vincular IDs de usuário exclusivos para aplicativos específicos a páginas de perfil individuais do Facebook, e estão trabalhando para instituir autenticação adicional e limitação de taxa para solicitações de imagem de perfil de login do Facebook. '"
© 2018 Tech Xplore
