Facebook confirma a TechCrunch que está investigando un informe de investigación de seguridad que muestra que los datos de los usuarios de Facebook pueden ser capturados por rastreadores JavaScript de terceros incrustados en sitios web usando “Login With Facebook”. La vulnerabilidad permite a estos rastreadores recopilar los datos de un usuario, incluyendo nombre, dirección de correo electrónico, rango de edad, sexo, ubicación y foto de perfil, dependiendo de lo que los usuarios proporcionaron originalmente al sitio web. No está claro qué hacen estos rastreadores con los datos, pero muchas de sus empresas matrices, incluidas Lytics y ProPS, venden servicios de monetización de editores basados en los datos recopilados de los usuarios.

Los scripts abusivos se encontraron en 434 de los 1 millón de sitios web más visitados, incluyendo el proveedor de bases de datos en nube MongoDB. Esto según Steven Englehardt y sus colegas de Freedom To Tinker, que tiene su sede en el Center for Information Technology Policy de Princeton.

(https://freedom-to-tinker.com/2018/04/18/no-boundaries-for-facebook-data-third-party-trackers-abuse-facebook-login/ )

Mientras tanto, se descubrió que el sitio de conciertos BandsInTown pasaba los datos de usuario de “Login With Facebook” a scripts incrustados en sitios que instalan su producto publicitario Amplified. Un iframe BandsInTown invisible se cargaba en estos sitios, tomando datos de usuario que eran entonces accesibles a los scripts incrustados que permiten que cualquier sitio malicioso que utilice BandsInTown conozca la identidad de los visitantes. BandsInTown ha solucionado esta vulnerabilidad.

TechCrunch sigue a la espera de una declaración formal de Facebook más allá de "Vamos a investigar esto y nos pondremos en contacto con usted."

Fuente: https://techcrunch.com/2018/04/18/login-with-facebook-data-hijacked-by-javascript-trackers/