Исследователи раскрыли схему кражи пользовательских данных при авторизации через Facebook

Ученые из Принстона выяснили, что сторонние JavaScript-библиотеки аналитических и рекламных сервисов собирают информацию о посетителях сайта через аутентификационную функцию «Войти через Facebook». Это происходит на 434 сайтах из миллиона, и большинство ресурсов даже не подозревают о происходящем.

Сценарий № 1

Первый способ кражи данных используется на сайтах, где доступна авторизация через аккаунт в Facebook. В процессе аутентификации API соцсети формирует запрос к ее серверам, и те возвращают данные, к которым пользователь разрешил доступ.

Сторонний код JavaScript, который загружается на странице авторизации, способен перехватить эти данные и вычленить из них информацию о пользователе.

Исследователи выявили семь аналитических и следящих сервисов, практикующих такой метод:

Некоторые из них собирали пользовательские ID для конкретного приложения, которые можно конвертировать в Facebook ID и получить больше информации о посетителе сайта.

Сценарий № 2

Второй способ более запутанный. Суть в том, что если сайт использует такую систему аутентификации, то сторонние сервисы могут вставлять его iframe в другие сайты. Таким образом злоумышленники могут обманывать браузер пользователя и получать данные о нем.

Как и в первом сценарии, сторонние отслеживающие скрипты могут впоследствии перехватывать данные для входа в соцсеть и вычленять из нее информацию о пользователе.

Исследователи считают, что подобные утечки связаны не с ошибками в авторизации через Facebook, а с недостатком в Интернете границ безопасности между ресурсами и сторонними скриптами.

Facebook уже не раз отмечалась в делах о раскрытии пользовательских данных. Последний случай вышел громким: журналисты выяснили, что в компанию Cambridge Analytica утекли данные 50 млн аккаунтов соцсети (сама Facebook насчитала 87 млн). Это привело Марка Цукерберга на почти пятичасовой допрос в сенат США.