Cada vez que los usuarios seleccionan la opción “Iniciar sesión con Facebook” en una plataforma que no es Facebook, confían en que esa información será usada únicamente para ese propósito. Sin embargo, un equipo de investigadores descubrió que esta función es fácilmente atacable por scripts de terceros.
PUBLICIDAD
El problema radica en la función «Iniciar sesión con Facebook» que, como su nombre lo indica, permite iniciar sesión en sitios web con las credenciales de la red social en lugar de tener que crear cuentas separadas. Investigadores de la Universidad de Princeton, consignaron que esta función, utilizada en una infinidad de aplicaciones y sitios web, sirve de fuente para que desconocidos puedan rastrear y aprovechar fácilmente el nombre del usuario, correo y perfil público.
Ni siquiera tienen que ingresar al perfil mismo; cualquiera puede capturar la información y darle seguimiento. Así lo mencionaron los investigadores:
Los sitios web pueden solicitar la dirección de correo electrónico del usuario y el «perfil público» (nombre, rango de edad, sexo, ubicación y foto de perfil) sin activar una revisión manual de Facebook. Una vez que el usuario permite el acceso, cualquier Javascript de terceros incrustado en la página, como tracker.com, también puede recuperar la información del usuario como si fuera la primera fuente.
Esta exposición involuntaria de datos de Facebook a terceros no se debe a un error en la función de inicio de sesión de Facebook. Más bien, se debe a la falta de límites de seguridad.
Desde Facebook se defendieron diciendo que el ejercicio es una violación directa de sus políticas:
Mientras investigamos este problema, hemos tomado medidas inmediatas al suspender la capacidad de vincular el perfil de usuario con aplicaciones específicas. Estamos trabajando para establecer una autentificación adicional y limitación de velocidad para las solicitudes.
Investigadores publicaron una lista de algunos sitios que utilizan los scripts de terceros cuestionado. Lidera la lista el TribunNews. La noticia viene tras la extensa polémica por el uso indebido de datos de Cambridge Analytica.