Las bibliotecas de JavaScript de diversos servicios de publicidad y análisis están desviando datos de usuarios de páginas web donde se está utilizando la función Iniciar sesión con Facebook
Los académicos de la Universidad de Princeton descubrieron que 434 de los mejores 1 millón de sitios están cargando código JavaScript de servicios de terceros que se basan en datos de "Iniciar sesión con Facebook". Estos scripts se han encontrado en sitios populares como fiverr.com, bhphotovideo.com y mongodb.com.
Los investigadores creen que la mayoría de los 434 servicios probablemente desconocen que esto está sucediendo en sus sitios.
Escenario de recopilación de datos 1
El equipo de investigación dice que la recopilación de datos generalmente ocurre de dos maneras diferentes. El primer caso es en sitios que usan una función "Iniciar sesión con Facebook" para autenticar usuarios.
Cuando un usuario desea iniciar sesión en su cuenta, la función "Iniciar sesión con Facebook" realiza una solicitud a los servidores de Facebook, que responden con los datos de la cuenta de Facebook a los que un usuario ha permitido que acceda ese sitio específico.
El código de JavaScript de terceros que se carga en la página de inicio de sesión es capaz de interceptar estos datos y extraer detalles del usuario.
Primer inicio de sesión con el escenario de exfiltración de datos de Facebook
Los investigadores de Princeton dicen que han identificado siete servicios analíticos / de rastreo de usuarios que se involucran en tales prácticas.
Empresas atrapadas coleccionando Ingresar con datos de Facebook
Pero mientras que algunos de estos servicios de rastreo y análisis recopilaron datos aparentemente benignos -en forma del ID de usuario específico de la aplicación-, el equipo de Princeton dice que esta ID de usuario de la aplicación se puede convertir a una ID de Facebook y luego se puede usar para obtener más información sobre el visitante de un sitio
Escenario de recopilación de datos 2
El segundo escenario de recopilación de datos es un poco más complejo que el primero. La idea es que si un sitio utiliza un sistema de "Iniciar sesión con Facebook" que permite a los usuarios iniciar sesión usando credenciales de Facebook, los servicios analíticos fraudulentos de terceros pueden incorporar un iframe oculto en otros sitios para engañar a los navegadores de los usuarios para que se autentiquen usando su nombre de usuario de Facebook.
Al igual que en el primer escenario, el script de seguimiento de terceros puede interceptar los datos de inicio de sesión de Facebook y extraer la información del usuario.
Segundo inicio de sesión con el escenario de exfiltración de Facebook
Según el equipo de Princeton, solo encontraron este segundo escenario utilizado una sola vez con el servicio de Bandsintown, que resolvió el problema una vez informado por el equipo de Princeton. Esto evitó cualquier ataque futuro que hubiera intentado abusar de la función "Iniciar sesión con Facebook" de Bandsintown para cosechar los detalles del usuario.
Fecha actualización el 2021-04-19. Fecha publicación el 2018-04-19. Categoría: facebook. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer"Esta exposición involuntaria de datos de Facebook a terceros no se debe a un error en la función de inicio de sesión de Facebook", explicaron los investigadores de Princeton . "Más bien, se debe a la falta de límites de seguridad entre los scripts de terceros y de terceros en la web de hoy".
"Aún así, hay pasos que Facebook y otros proveedores de inicio de sesión social pueden tomar para evitar abusos: el uso de API puede ser auditado para revisar cómo, dónde y qué partes acceden a los datos de inicio de sesión social. Facebook también podría rechazar la búsqueda de imágenes de perfil y Facebook global ID por ID de usuario con alcance de aplicación. También podría ser el momento adecuado para hacer que el Inicio de sesión anónimo con Facebook esté disponible luego de su anuncio hace cuatro años ", dijeron los investigadores.
