Facebook confirma a TechCrunch que está investigando un informe de investigación de seguridad que muestra que los rastreadores de JavaScript de terceros pueden capturar los datos de los usuarios de Facebook incrustados en sitios web que utilizan Iniciar sesión con Facebook. El exploit permite que estos rastreadores recopilen los datos de un usuario, incluidos el nombre, la dirección de correo electrónico, el rango de edad, el género, la ubicación y la foto de perfil, según lo que los usuarios proporcionaron originalmente al sitio web. No está claro qué hacen estos rastreadores con los datos, pero algunas de sus empresas matrices venden servicios de monetización de editores en función de los datos de usuario recopilados.
Los scripts abusivos se encontraron en 434 de los 1 millón de sitios web principales, incluido el proveedor de bases de datos en la nube MongoDB. Ese es según Steven Englehardt y sus colegas de Freedom To Tinker, alojado por el Centro de Políticas de Tecnología de la Información de Princeton.
Mientras tanto, se descubrió que el sitio de conciertos BandsInTown estaba pasando datos de usuario de Login With Facebook a scripts incrustados en sitios que instalan su producto de publicidad Amplified. Un iframe BandsInTown invisible se cargaría en estos sitios, extrayendo datos del usuario que luego serían accesibles para los scripts incrustados. Eso permite que cualquier sitio malicioso que use BandsInTown conozca la identidad de los visitantes. BandsInTown ahora ha corregido esta vulnerabilidad.
TechCrunch todavía está esperando una declaración formal de Facebook más allá de “Investigaremos esto y nos pondremos en contacto con usted”.
[Update 4/19/18 10:15am: A Facebook spokesperson now tells us “Scraping Facebook user data is in direct violation of our policies. While we are investigating this issue, we have taken immediate action by suspending the ability to link unique user IDs for specific applications to individual Facebook profile pages, and are working to institute additional authentication and rate limiting for Facebook Login profile picture requests.”]Después de que TechCrunch llamara la atención de MongoDB sobre el problema esta mañana, investigó y solo proporcionó esta declaración: “No sabíamos que una tecnología de terceros estaba usando un script de seguimiento que recopila partes de los datos de los usuarios de Facebook. Hemos identificado la fuente del guión y lo hemos cerrado”.
BandsInTown me dice: “Bandsintown no divulga datos no autorizados a terceros y, al recibir un correo electrónico de un investigador que presentaba una posible vulnerabilidad en un script que se ejecutaba en nuestra plataforma publicitaria, tomamos rápidamente las medidas adecuadas para resolver el problema por completo”. [Correction: Two sites listed by the researchers have confirmed via fraud prevention service Forter that they did not host any exploitative trackers, or that their trackers did not have access to Facebook data. They’ve been removed from the research paper and subsequently from this article. Two of the tracker companies have confirmed they don’t collect Facebook data, and we’ve removed them as well.]
El descubrimiento de estas fallas de seguridad de datos llega en un momento vulnerable para Facebook. La compañía está tratando de recuperarse del escándalo de Cambridge Analytica, el CEO Mark Zuckerberg acaba de testificar ante el Congreso, y hoy reveló actualizaciones de privacidad para cumplir con la ley europea GDPR. Pero los cambios recientes en la API de Facebook diseñados para salvaguardar los datos de los usuarios no evitaron estas vulnerabilidades. Y la situación arroja más luz sobre las formas poco entendidas en que se rastrea a los usuarios de Facebook en Internet, no solo en su sitio.
“Cuando un usuario otorga acceso a un sitio web a su perfil de redes sociales, no solo está confiando en ese sitio web, pero también terceros incrustados en ese sitio”, escribe Englehardt. Este gráfico muestra lo que algunos rastreadores obtienen de los usuarios. Freedom To Tinker advirtió a OnAudience sobre otro problema de seguridad recientemente, lo que lo llevó a dejar de recopilar información de los usuarios.
Facebook podría haber identificado estos rastreadores y evitado estas vulnerabilidades con suficiente auditoría de API. Actualmente está aumentando la auditoría de API mientras busca a otros desarrolladores que podrían haber compartido, vendido o utilizado datos de manera inapropiada, como la forma en que los datos de usuario de la aplicación del Dr. Aleksandr Kogan terminaron en manos de Cambridge Analytica. Facebook también podría cambiar sus sistemas para evitar que los desarrolladores tomen una identificación de usuario específica de la aplicación y la empleen para descubrir la identificación de usuario general permanente de Facebook de esa persona.
Es probable que revelaciones como esta atraigan una reacción violenta de datos más grande. A lo largo de los años, el público se había vuelto complaciente con las formas en que se explotaban sus datos sin consentimiento en la web. Mientras que Facebook está en el banquillo, otros gigantes tecnológicos como Google confían en los datos de los usuarios y operan plataformas de desarrolladores que pueden ser difíciles de vigilar. Y los editores de noticias, desesperados por ganar lo suficiente con los anuncios para sobrevivir, a menudo caen en redes publicitarias y rastreadores incompletos.
Zuckerberg es un blanco fácil porque el fundador de Facebook sigue siendo el CEO, lo que permite que los críticos y los reguladores lo culpen por las fallas de la red social. Pero cualquier empresa que juegue rápido y suelto con los datos de los usuarios debería estar sudando.
Source link