Hanya Sebuah Blog yang Menarik

Login Dengan data Facebook yang dibajak oleh pelacak JavaScript

Pelacak JavaScript – Facebook mengonfirmasi kepada TechCrunch bahwa mereka sedang menyelidiki laporan penelitian keamanan yang menunjukkan data pengguna Facebook dapat diraih oleh pelacak JavaScript pihak ketiga yang disematkan di situs web menggunakan Login Dengan Facebook. Eksploitasi memungkinkan pelacak ini mengumpulkan domino qiu qiu data pengguna termasuk nama, alamat email, rentang usia, jenis kelamin, lokal, dan foto profil tergantung pada apa yang awalnya diberikan pengguna ke situs web. Tidak jelas apa yang dilakukan pelacak dengan data tersebut, tetapi banyak perusahaan induknya termasuk Tealium, AudienceStream, Lytics, dan ProPS menjual layanan monetisasi penayang berdasarkan data pengguna yang dikumpulkan.

Skrip kasar ditemukan di 434 dari 1 juta situs web teratas termasuk situs freelancer Fiverr.com, penjual kamera B & H Foto Dan Video, dan penyedia basis data cloud MongoDB. Itu menurut Steven Englehardt dan rekan-rekannya di Freedom To Tinker, yang diselenggarakan oleh Pusat Kebijakan Teknologi Informasi Princeton.

Sementara itu, situs konser BandsInTown ditemukan lewat Login Dengan data pengguna Facebook untuk skrip tertanam di situs yang menginstal produk iklan Amplified. Sebuah iframe BandsInTown yang tidak terlihat akan dimuat di situs ini, menarik data pengguna yang kemudian dapat diakses oleh skrip yang disematkan. Yang membiarkan situs berbahaya menggunakan BandsInTown mempelajari identitas pengunjung. BandsInTown sekarang telah memperbaiki kerentanan ini.

TechCrunch masih menunggu pernyataan resmi dari Facebook di luar “Kami akan melihat ini dan kembali kepada Anda.” Setelah TechCrunch menyampaikan masalah ini kepada perhatian MongoDB pagi ini, ia menyelidiki dan hanya memberikan pernyataan ini “Kami tidak menyadari bahwa pihak ketiga teknologi menggunakan skrip pelacakan yang mengumpulkan sebagian data pengguna Facebook. Kami telah mengidentifikasi sumber skrip dan mematikannya. ”

BandsInTown memberitahu saya “Bandsintown tidak mengungkapkan data yang tidak sah kepada pihak ketiga dan setelah menerima email dari seorang peneliti yang menyajikan king4d kerentanan potensial dalam skrip yang berjalan di platform iklan kami, kami dengan cepat mengambil tindakan yang tepat untuk menyelesaikan masalah secara penuh.” Fiverr melakukan tidak merespon sebelum waktu tekan.

Penemuan kelemahan keamanan data ini datang pada saat yang rentan bagi Facebook. Perusahaan ini mencoba untuk memulihkan diri dari skandal Cambridge Analytica, CEO Mark Zuckerberg hanya memberi kesaksian sebelum kongres, dan hari ini mengumumkan pembaruan privasi untuk mematuhi hukum GDPR Eropa. Namun perubahan API terbaru yang dirancang untuk melindungi data pengguna tidak mencegah eksploitasi ini. Dan situasi ini semakin bersinar pada cara yang sedikit dipahami pengguna Facebook dilacak di Internet, tidak hanya di situsnya.

“Ketika seorang pengguna memberikan akses situs web ke profil media sosial mereka, mereka tidak hanya mempercayai situs web itu, tetapi juga pihak ketiga yang disematkan di situs itu” tulis Englehardt. Diagram ini menunjukkan bahwa beberapa pelacak menarik dari pengguna. Freedom To Tinker memperingatkan OnAudience tentang masalah keamanan lain baru-baru ini, yang mengarahkannya untuk berhenti mengumpulkan info pengguna.

Facebook dapat mengidentifikasi pelacak ini dan mencegah eksploitasi ini dengan audit API yang memadai. Saat ini meningkatkan audit API karena memburu pengembang lain yang mungkin memiliki data yang dibagikan, dijual, atau digunakan secara tidak layak seperti bagaimana data pengguna aplikasi Dr. Aleksandr Kogan berakhir di tangan Cambridge Analytica. Facebook juga dapat mengubah sistemnya untuk mencegah pengembang mengambil ID pengguna khusus aplikasi dan menggunakannya untuk menemukan bahwa ID pengguna Facebook pengguna itu permanen menyeluruh.

Revelations seperti ini cenderung mengisyaratkan reaksi data yang lebih besar. Selama bertahun-tahun, publik menjadi puas tentang cara-cara data mereka dieksploitasi tanpa persetujuan di web. Meskipun Facebook berada di totobet kursi panas, raksasa teknologi lainnya seperti Google mengandalkan data pengguna dan mengoperasikan platform pengembang yang dapat menjadi sulit untuk dikuasai. Dan penerbit berita, putus asa untuk mendapatkan cukup dari iklan untuk bertahan hidup, sering jatuh dengan jaringan iklan dan pelacak yang tidak jelas.

Zuckerberg membuat target yang mudah karena pendiri Facebook masih menjadi CEO, memungkinkan kritik dan regulator untuk menyalahkannya atas kegagalan jaringan sosial. Tetapi setiap perusahaan yang bermain cepat dan longgar dengan data pengguna harus berkeringat.

Post a Comment

Your email is kept private. Required fields are marked *