Gadgetshowto
Facebook ne semble tout simplement pas pouvoir faire une pause ces jours-ci. Alors même que la colère entourant le scandale Cambridge Analytica fait rage aux États-Unis et au-delà, un nouveau rapport semble maintenant suggérer que plusieurs trackers tiers sur le Web abusent du système de connexion Facebook en exfiltrant des informations personnellement identifiables via l'API..
Les données collectées subrepticement, selon les chercheurs, incluent un utilisateur "Nom, adresse e-mail, tranche d'âge, sexe, paramètres régionaux et photo de profil". 
Selon le rapport, la disponibilité facile des données Facebook aux trackers JavaScript tiers est "En raison du manque de frontières de sécurité entre les scripts propriétaires et tiers dans le Web actuel". Cela étant, les gens risquent de voir leur vie privée compromise par deux vulnérabilités différentes du système..
Tout d'abord, "Lorsqu'un utilisateur autorise un site Web à accéder à son profil de réseau social, il fait non seulement confiance à ce site Web, mais également à des tiers intégrés sur ce site". Tiers auxquels les utilisateurs n'ont pas accordé l'autorisation d'accéder à leurs données. "Ces scripts sont intégrés sur un total de 434 des 1 million de sites les plus importants, y compris fiverr.com, bhphotovideo.com et mongodb.com", dit le rapport.
Mise à jour: Tealium, mentionné dans la recherche originale, nous a contacté avec une déclaration officielle concernant la collecte de données. "En réponse, Tealium précise qu'il n'utilise pas les données Facebook de la manière décrite par les chercheurs: «Le logiciel de Tealium est utilisé par les entreprises pour gérer leurs propres données utilisateur, et Tealium lui-même n'utilise ces données à aucune fin et n'achète, ne partage ni ne vend ces données. Tealium est un défenseur de la confidentialité des données client, d'une gouvernance des données solide et de la transparence. »
en deuxième, "Les trackers tiers cachés peuvent également utiliser Facebook Login pour désanonymiser les utilisateurs à des fins de publicité ciblée" à leur insu. Cela se produit lorsqu'un utilisateur visite directement le site Web de l'un de ces trackers, les transformant ainsi en une première partie et permettant d'accéder à un trésor de données Facebook. Selon le rapport, «C'est exactement ce que nous avons trouvé Bandsintown en train de faire. Pire encore, ils l'ont fait d'une manière qui a permis à tout site malveillant d'intégrer l'iframe de Bandsintown pour identifier ses utilisateurs ».
Le rapport a été publié hier par des chercheurs de Freedom to Tinker - une initiative numérique du Center for Information Technology Policy de l'Université de Princeton. À la suite de sa publication, le géant des médias sociaux a publié une déclaration à TechCrunch, affirmant qu'il enquêtait sur la façon dont les données utilisateur de Facebook peuvent être si facilement accessibles par des trackers JavaScript sur des sites Web et des services tiers utilisant les API de connexion sociale de l'entreprise..
