vendredi 20 avril 2018

Vos données Facebook peuvent être arrachées par des trackers JavaScript

Vos données Facebook peuvent être arrachées par des trackers JavaScript

Vos données Facebook peuvent être arrachées par des trackers JavaScript


Vos données Facebook peuvent être arrachées par des trackers JavaScript


Les scripts abusifs interceptent des données lorsque les utilisateurs se connectent à des sites Web avec des informations d'identification Facebook.

Facebook examine un rapport de sécurité qui révèle que les données de Facebook peuvent être interceptées par les trackers JavaScript si elles sont plantées sur des sites Web qui permettent aux utilisateurs de se connecter avec leurs informations d'identification Facebook. Pas seulement leur nom et adresse e-mail, soit: L'exploit saisit la tranche d'âge, le sexe, les paramètres régionaux et éventuellement une photo de profil, en fonction de l'accès autorisé par l'utilisateur à ce site. Une fois que quelqu'un se connecte, tout JavaScript tiers peut soi-disant récupérer ses informations à volonté.




Le rapport, par Freedom to Tinker du Centre for Information Technology Policy Center de Princeton, a répertorié 431 des 1 million premiers sites (selon le classement Alexa) qui ont intégré les scripts ombrés. La liste comprenait le fournisseur de base de données de nuage MongoDB jusqu'à ce que TechCrunch porte le problème à leur attention, après quoi ils auraient fermé le script abusif.



"Scraper les données des utilisateurs de Facebook est en violation directe de nos politiques", a déclaré un porte-parole de Facebook à la presse . « Alors que nous examinons cette question, nous avons pris des mesures immédiates en suspendant la possibilité de lier un ID utilisateur unique pour des applications spécifiques à chaque page de profil Facebook, et travaillent à instaurer une authentification supplémentaire et la limitation du débit pour Facebook Connexion demandes de photo de profil. »

Le rapport a conclu que les données de l'utilisateur exposé n'a pas été en raison d'un bogue dans la fonction de connexion de Facebook - au lieu, il est « en raison de l'absence de limites de sécurité entre la première partie et des scripts tiers dans le web d'aujourd'hui. » Pour remédier à cette lacune, les auteurs du rapport recommandent que Facebook (et tous les autres services disposant de connexions sociales) audite leurs API pour vérifier qui accède aux données de connexion. Cheekily, ils recommandent également finalement de rendre Anonymous Login with Facebook disponible après son annonce il y a quatre ans.

Enregistrer un commentaire

Whatsapp Button works on Mobile Device only

Start typing and press Enter to search