Facebook再爆漏洞 第三方JavaScript追蹤器暗集用戶數據
發布時間: 2018/04/19 18:25
最後更新: 2018/04/19 18:25
Facebook又再爆洩露用戶資料漏洞!有安全研究指出,有公司利用第三方JavaScript追蹤器,嵌入於用Facebook帳戶登錄的網站,秘密收集用戶的個人數據,包括名字、年齡、個人資料相片等,Facebook回應正展開調查。
研究報告出自普林斯頓資訊科技政策中心(Princeton's Center For Information Technology Policy)旗下的Freedom To Tinker,研究人員從Amazon語音助理Alexa排名前100萬位的網站中,抽取5萬個網站調查,在當中434個網站,發現7個不同的第三方JavaScript追蹤器程式,取得用戶的個人數據。
當用戶在網站選擇「使用Facebook登入」時,用戶會收到提示,是否允許網站存取其Facebook上公開個人資料,包括用戶姓名、年齡、電郵地址、性別、地點和個人資料相片,一旦用戶允許存取,除了網站本身,嵌入在網站頁面的第三方JavaScript追蹤器,同樣可以取得用戶資料。研究人員相信,網站並不了解嵌入追蹤器,等同開放授權予第三方存取用戶資料。
7個追蹤器大多收集到網站用戶ID,另外兩個得到電郵地址、用戶姓名等額外個人訊息。報告指,單得到網站用戶ID,已足夠讓第三方搜索用戶的Facebook帳戶和其他公開個人資料,用於識別、追蹤網站和裝置的用戶。
研究人員表示,不清楚追蹤器擁有公司具體如何使用數據,但知道這些公司OnAudience、Tealium AudienceStream、Lytics和ProPS均透過收集數據建立客戶數據平台,提供盈利服務。他們認為,Facebook用戶數據意外洩露給第三方,並不是Facebook的錯誤,只是疏忽未有區分出第三方的網站追蹤器程式;但認為Facebook可以採取措施,通過API審計防止濫用。
Facebook向外國科技網站TechCrunch證實,他們正調查報告的說法。