Facebook, tracker JavaScript di terze parti riceve i dati dell’utente

Un rapporto sulla sicurezza informatica ritiene che qualcuno abbia inserito un tracker JavaScript di terze parti utilizzando Login With Facebook. Il sito web (collegato con un account Facebook) acquisisce i dati personali degli utenti del social. Il quale, dal canto suo, conferma ai media di star al momento indagando sui problemi segnalati.

Il tracker è in grado di raccogliere alcuni dati da parte dell’utente, compreso il nome, indirizzo email, età, sesso, localizzazione, foto, ecc. Dipende da quali informazioni l’utente specifico abbia fornito. 

Cosa fanno esattamente questi tracker con i dati

Non è molto chiaro. Il rapporto proviene dal sito Freedom To Tinker, affiliato al Centro per le tecnologie informatiche di Princeton. I ricercatori, osservando quasi un milione di siti, ne ha segnalati 434 che abusano dello script. I ricercatori hanno estratto 50.000 siti dal primo milione di siti Web di Alexa per un’analisi condotta a gennaio 2017 e hanno raggiunto le conclusioni di cui sopra. Specificamente, tutti i siti sono stati selezionati casualmente, per un totale di 50.000.

L’analisi ha rilevato che il sito dei concerti BandsInTown ha inviato Login con i dati utente di Facebook agli script del sito Web, che installavano programmi pubblicitari amplificati. Il framework inline nascosto di BandsInTown viene caricato sul sito, estrae i dati dell’utente e, quindi, può accedere agli script incorporati. In questo modo, i siti web dannosi possono utilizzare BandsInTown per comprendere l’identità dei visitatori. Sebbene sia a conoscenza della vulnerabilità, BandsInTown non ha ancora risolto il problema. 

Facebook non ha rilasciato alcuna dichiarazione ufficiale al momento per rispondere a questo problema.