Volgens onderzoekers van Freedom to Tinker bestaan er op een klein percentage van de populairste 1 miljoen websites scripts van derden die data verzamelen en gebruikers tracken via de functie om in te loggen met Facebook. Het zou gaan om zeven partijen.

De onderzoekers, waaronder Steven Englehardt van Mozilla die het onderzoek deed in het kader van zijn Princeton-doctoraat, melden dat ze in totaal 434 sites hebben geïdentificeerd waarop deze partijen actief zijn. Ze hebben naar eigen zeggen twee soorten 'kwetsbaarheden' gevonden. De eerste bestaat eruit dat scripts van de derde partijen gebruikmaken van de toegang van de site zelf tot de login-gegevens via Facebook Login. De tweede heeft ermee te maken dat trackers de anonimiteit van bezoekers opheffen om ze gerichte advertenties voor te schotelen. Het zou niet om een bug binnen de Facebook Login-functie gaan, maar de onderzoekers stellen dat er te weinig scheiding zit tussen scripts van de site zelf en die van derde partijen. Ze schrijven: "Als we een website vertrouwen met onze socialemedia-informatie, vertrouwen we ook derde partijen die embedded zijn op die site."

Facebook Login maakt het mogelijk om bij een site in te loggen zonder een nieuw account aan te hoeven maken. In het eerste geval, bij het verzamelen van gegevens, gaat het volgens de onderzoekers in de meeste gevallen om gebruikers-id's. Die zijn uniek voor elke site, maar geven toegang tot de algemenere Facebook-id, die weer informatie verschaft over het openbare profiel van de gebruiker. In andere gevallen verzamelen de partijen ook het e-mailadres en in één geval het geslacht. De onderzoekers vermelden dat ze er niet zeker van zijn op welke manier de gegevens worden gebruikt door de partijen, maar op basis van marketingsmateriaal zou blijken dat de meesten monetization van gebruikers aanbieden.

Partij Scriptadres Verzamelde gegevens
OnAudience http://api.behavioralengine.com/scripts/be-init.js User ID (hashed),
Email (hashed), Gender
Augur https://cdn.augur.io/augur.min.js Email, Username
Lytics https://c.lytics.io/static/io.min.js (loaded via OpenTag) User ID
ntvk1.ru https://p1.ntvk1.ru/nv.js User ID
ProPS http://st-a.props.id/ai.js User ID (has code to collect more)
Tealium http://tags.tiqcdn.com/utag/ipc/[*]/prod/utag.js User ID
Forter https://cdn4.forter.com/script.js?sn=[*] User ID

De onderzoekers beschrijven ook details van hun tweede bevinding, die gaat over het tracken van gebruikers. Ze noemen het voorbeeld van de site Bandsintown.com, die gebruikers bepaalde artiesten laat volgen, mits ze inloggen met Facebook. De site heeft een eigen advertentiedienst, die ook op andere muziekwebsites te vinden is in de vorm van een iframe. Door de loginfunctie heeft Bandsintown toegang tot de Facebook-authenticatietokens van bezoekers, die de andere websites met de advertentiedienst vervolgens weer kunnen gebruiken om de Facebook-id van bezoekers te achterhalen en ze op die manier kunnen tracken. Bandsintown heeft inmiddels maatregelen genomen.

Facebook zou dit soort praktijken kunnen tegengaan door het opzoeken van gebruikersprofielen aan de hand van sitespecifieke id's tegen te gaan, aldus de onderzoekers. Daarnaast zou het bedrijf strenger naar zijn api kunnen kijken om erachter te komen op welke manieren de login-gegevens worden gebruikt. Een andere optie is het invoeren van anonieme logins, die het bedrijf in 2014 aankondigde maar nog niet beschikbaar zou hebben gemaakt. Facebook laat aan TechCrunch weten dat het de claims van de onderzoekers bekijkt. De onderzoekers hebben een overzicht van de eerdergenoemde sites op GitHub gepubliceerd.

Reacties mogelijk gemaakt door CComment