Facebook 이 TechCrunch에 전한 바에 따르면, 현재이 회사는 "Facebook 로그인"기능을 이용하여 웹 사이트에 포함 된 타사 Javascript 추적기가 Facebook의 사용자 데이터를 얻을 수 있음을 지적했다 보안 조사 보고서 책을 검토하고있다. 이 버그를 악용하면 사용자가 등록되어 있으면, 이름, 이메일 주소, 연령, 성별, 지역, 프로필 사진 등을 수집 할 것이다. 트래커가이 데이터를 어떻게 사용하고 있는지는 불분명하지만, 이러한 추적기를 팔고있는 Tealium, AudienceStream, Lytics, ProPS 같은 회사는 수집 한 사용자 데이터를 이용한 수익 창출 서비스를 사이트 관리자에게 판매 있다.
웹 사이트 상위 100 만건 중 악성 스크립트가 발견 된 사이트가 434 건 있었다 프리랜서 사이트 Fiverr.com 카메라 판매 B & P Photo And Video 및 클라이드 데이터베이스 제공자의 MongoDB 등의 이름도 있었다 했다. Steven Englehardt 이 Prinston의 Center For Information Technology Policy가 호스팅하는 Freedom To Tinker 팀과 협력하여 조사 하였다.
한편, 콘서트 발견 사이트 BandsInTown 회사의 Amplified라는 광고 앱을 설치하고있는 사이트의 포함 된 스크립트에 "Facebook 로그인"의 사용자 데이터를 보내고 있었다는 것을 알 수 있었다. 사이트에로드 된 BandsInTown 투명 iFrame이 사용자 데이터를 꺼내 포함 된 스크립트가 액세스 할 수 있도록한다. 그 결과 BandsInTown을 사용하는 악성 사이트는 방문자의 개인 정보를 알 수있다. BandIn Town 취약점은 이미 수정되어있다.
TechCrunch는 지금도 Facebook에서 "조사 후 연락하겠다 '는 이상의 공식 성명을 기다리고있다. 오늘 (미국 시간 4/18) 오전에이 문제를 MongoDB에 전했는데,이 회사는 조사 결과로 다음의 성명을 보내왔다. "타사 도구 추적 스크립트를 이용하여 Facebook 사용자 데이터의 일부를 수집하고 있었다는 것을 우리는 인식하지 않았다. 우리는 스크립트의 출처를 밝혀 이미 중지"
BandsInTown 나에게 "BandsInTown 허용되지 않은 데이터를 타사에 제공하는 것은 아니다. 우리의 광고 플랫 폼에서 실행 된 스크립트에 취약점이있을 가능성을 보여주는 조사 회사로부터의 메일을보고 밖으로 즉시 적절한 작업을 수행하고 문제를 전면적으로 해결하고있다. " Fiverr에서 글을 쓰는 시점에서 대답이 없다.
일련의 데이터 보안 결함 발각는 Facebook이 타격을 받고있는시기에 겹쳤다. Cambridge Analytica 스캔들 에서立ち直ろ려고하고있는 CEO Mark Zuckerberg는 최근 의회에서 증언 하고 Facebook은 유럽의 GDPR 법을 준수하기 위해 개인의 사양 을 변경했다. 그러나 Facebook이 최근 실시한 사용자 데이터를 보호하기위한 API 변경 은 위의 취약점을 방지 할 수 없었다. 그리고 현재는 Facebook 사용자가 사이트에있는 동안뿐만 아니라 인터넷의 어디에 있어도 추적하는 방법이 있다는 거의 알려지지 않은 사실에 주목이 모이고있다.
"사용자가 웹 사이트에 자신의 소셜 미디어 프로필을 전달하면 그 사람은 그 웹 사이트를 신뢰하는 뿐만 아니라 사이트에 포함 된 타사도 신용 한 것"이라고 Englehardt는 쓰고있다 . 아래의 표는 트래커가 사용자에서 무엇을 꺼내 있는지를 보여주고있다. 최근 Freedom To Tinker는 OnAudience에 다른 보안 문제에 대해 경고하고 그 결과이 서비스는 사용자 정보의 수집을 중단했다.
Facebook이 API를 충분히 감시하고 있으면 이러한 추적기를 찾아 악용을 미연에 방지하고 있었을지도 모른다. 현재이 회사는 API 감사를 강화하여 Cambridge Analytica에 사용자 데이터를 전달 수법을 흉내내는 개발자를 룩업하고있다. 또한 Facebook은 개발자가 응용 프로그램 고유의 사용자 ID를 사용하여 그 인물의 Facebook 사용자 ID를 파악하는 데 저지하기 위해 시스템을 변경할 수있는 것이다.
이런 종류의 노출은 사용자의 큰 반발을 초래할 경우가 많다. 최근 몇 년간 세상은 웹 주변에서 자신의 데이터가 무단으로 이용되고있는 상황에 만족 해왔다. 적대감에 처해있는 것은 Facebook하지만 Google과 같은 다른 IT 거인들도 사용자 데이터에 의존하고 쉽게 감시 할 수없는 개발자 플랫폼을 운용하고있다. 그리고 어떻게 든 광고에서 벌어 살아남으 뉴스 발신자들은 모호한 광고 네트워크와 추적기에 달려 경향이있다.
Zuckerberg가 표적이되기 쉽다는 Facebook의 창업자 인 그는 지금도 CEO를 역임하고 있기 때문이다. 평론가와 규제 당국은 Facebook 실패를 Zuckerberg의 책임에있다. 그러나 사용자 데이터의 취급이 조잡한 기업은 어디도 각오 해 두는 것이 좋다.