ニュースソース:FREEDOM TO TINKER
以下は、2018年4月18日にプリンストンの情報技術政策センターが主催するFREEDOM TO TINKERに公開された No boundaries for Facebook data: third-party trackers abuse Facebook Loginを要約したものです。
2種類の脆弱性を発見しました。
- Facebook ログイン機能を利用し、個人情報を第三者サイトに転送・収集
ユーザーが「Facebookでログイン」をクリックすると、訪問しているWebサイトがFacebookプロファイル情報の一部にアクセスすることを許可するよう促されます。ユーザーがアクセスを許可すると、ページに埋め込まれたサードパーティ製のJavaScriptが、ユーザーのFacebook情報を収集し第三者サイトに転送できます。
こうしたスクリプトはAlexaランク上位100万サイトのうちの434サイトで見つかりました。これらのスクリプトを埋め込んだWebサイトは、この特定のデータアクセスを認識していない可能性があります。
これらのサイトの一覧は以下を参照してください。
https://gist.github.com/englehardt/bf976e6b90f44f735749014a7a4a48b6 - Facebookログインサービスを使用してWeb上のユーザーを追跡する
Disqus、Bandsintown等いくつかのサードパーティは、Facebookログイン機能を使用して多くのWebサイトでユーザーを認証しています。私たちは、Bandsintownによって注入されたiframeが、ユーザーの情報を埋め込みスクリプトに無差別に渡すことを発見しました。したがって、任意の悪意のあるサイトは訪問者を識別するためにiframeを使用する可能性があります。Bandsintownにこの脆弱性を通知し、修正されたことを確認しました。