Большинство владельцев сайтов даже не знают о наличии данной проблемы.
Библиотеки JavaScript различных рекламных и аналитических сервисов тайно собирают пользовательские данные с web-страниц, на которых используется функция «Войти через Facebook», позволяющая пользователям регистрироваться с использованием учетных данных Facebook.
Как выяснили ученые из Принстонского университета (США), 434 сайта из списка Alexa ТОР 1М загружают код JavaScript из сторонних служб, собирающих данные с помощью функции «Войти через Facebook».
По словам исследователей, скорее всего, большинство владельцев сайтов, даже не знают о наличии данной проблемы. Сбор данных, как правило, происходит с помощью двух способов. В первом случае сайты используют функцию «Войти через Facebook» для аутентификации пользователей.
При авторизации пользователя в учетной записи, функция «Войти через Facebook» отправляет запрос на серверы Facebook, которые возвращают данные учетной записи в соцсети. Сторонний код JavaScript, загружающийся на странице входа, способен перехватывать эти данные и извлечь их. По словам специалистов, им удалось обнаружить 7 аналитических сервисов, практикующих данный метод.
Некоторые из аналитических служб собирали пользовательские идентификаторы приложения, которые можно преобразовать обратно в идентификатор Facebook, а затем использовать для получения большего количества информация о посетителе сайта.
Во втором случае процесс сбора данных несколько сложнее. Когда на сайте используется система «Вход через Facebook», сторонние аналитические сервисы могут встраивать скрытый iframe на другие сайты для того, чтобы обмануть браузеры пользователей. Таким образом сторонний скрипт может перехватить учетные данные и извлечь информацию о пользователе.
По словам специалистов, второй сценарий был обнаружен только один раз и использовался с сервисом Bandsintown. Проблема была исправлена после того, как исследователи уведомили представителей сервиса.