Saltar al contenido

Los riesgos de seguridad de iniciar sesión con Facebook

julio 2, 2021


Los perfiles de Facebook tienen se convierten en las identidades de facto de las personas en Internet. Esto se debe, en gran parte, a Iniciar sesión con Facebook, la API de inicio de sesión universal de la red social, que permite a los usuarios llevar la información de su perfil a otras aplicaciones y sitios web. Probablemente lo haya usado para iniciar sesión en servicios como Spotify, Airbnb y Tinder. Pero a veces, especialmente en sitios web menos conocidos, el uso de la función de inicio de sesión universal de Facebook puede conllevar riesgos de seguridad, según una nueva investigación de la Universidad de Princeton publicada el miércoles.

En una revisión por pares que aún no ha sido revisada por pares estudio publicado en Freedom To Tinker, un sitio alojado por el Centro de Política de Tecnología de la Información de Princeton, tres investigadores documentan cómo los scripts de seguimiento de terceros tienen la capacidad de recopilar información de la API de inicio de sesión de Facebook sin que los usuarios lo sepan. Los scripts de rastreo documentados por Steven Englehardt, Gunes Acar y Arvind Narayanan representan una pequeña porción del ecosistema de rastreo invisible que sigue a los usuarios en la web en gran parte sin su conocimiento.

“Nunca pensamos que esto fuera posible. Fue realmente sorprendente ”, dice Acar. «Esto es aprovechar una API social, lo que no se espera que haga, pero esto suena un poco más allá de la línea».

Los investigadores descubrieron que, a veces, cuando los usuarios otorgan permiso para que un sitio web acceda a su perfil de Facebook, los rastreadores de terceros integrados en el sitio también obtienen esos datos. Eso puede incluir el nombre de un usuario, la dirección de correo electrónico, la edad, la fecha de nacimiento y otra información, dependiendo de la información que el sitio original solicitó acceder. El estudio encontró que esta clase particular de script de seguimiento está presente en 434 del millón de sitios web más importantes de la web, aunque no todos consultan datos de Facebook desde la API; los investigadores solo confirmaron que tal script estaba presente.

La mayoría de los scripts que examinaron los investigadores obtienen una identificación de usuario que es única para ese sitio web, así como el nombre y el correo electrónico de la persona. Pero el problema es que, al usar la API de Facebook, podría vincular fácilmente esa identificación única al perfil de Facebook de alguien. Por ejemplo, un rastreador podría haber registrado que el Visitante 1 fue a una página web, pero con el inicio de sesión de Facebook, podría conectar a esa persona a su perfil público de redes sociales. Esa información se puede utilizar para rastrear a los usuarios en otros sitios web y dispositivos.

Después de que Princeton publicara su investigación, Facebook dijo que suspendería esta capacidad.

“La extracción de datos de usuarios de Facebook es una violación directa de nuestras políticas. Mientras investigamos este problema, hemos tomado medidas inmediatas al suspender la capacidad de vincular ID de usuario únicos para aplicaciones específicas a páginas de perfil de Facebook individuales, y estamos trabajando para instituir autenticación adicional y limitación de velocidad para las solicitudes de imágenes de perfil de inicio de sesión de Facebook «, un Facebook dijo el portavoz en un comunicado.

Los investigadores de Princeton identificaron siete scripts diferentes que son capaces de extraer información de la API de inicio de sesión de Facebook, uno de los cuales no pudieron vincular a una empresa específica. Los scripts restantes son creados por seis empresas de marketing y prevención de fraude: Lytics, ProPS, Tealium, Forter y OnAudience, la última de las cuales dejó de recopilar información de la API de inicio de sesión de Facebook tras la publicación de otro estudio de seguimiento de terceros realizado por uno de los mismos investigadores en diciembre. En un comunicado, OnAudience enfatizó que la plataforma que tenía esta capacidad, behavioralengine.com, ya no existe, y su plataforma actual usa una tecnología diferente para recolectar datos. ProPS no respondió de inmediato una solicitud de comentarios.

Adam Corey, CMO de Tealium, así como James McDermott, CEO de Lytics, explican que los hallazgos de los investigadores de Princeton no son tan simples como pueden parecer, en parte porque el ecosistema de rastreo de Internet es muy complicado. En primer lugar, es importante comprender qué hacen realmente estas empresas y otras similares. Crean software y herramientas de seguimiento que los sitios web pueden utilizar para encontrar información sobre sus clientes, qué sitios pagan. En otras palabras, un sitio puede comprar un producto de rastreo de una de estas empresas y luego usarlo para extraer información de la API de Facebook. Pero esa capacidad no suele ser para lo que una empresa pretendía utilizar sus herramientas.



Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *