Investigadores consignaron que la función "Iniciar sesión con Facebook" en aplicaciones o sitios web, sirve de fuente para que desconocidos puedan rastrear y aprovechar fácilmente el nombre del usuario, correo y perfil público.
WASHINGTON, DC. - Desde que se dio a conocer que la empresa Cambridge Analytica, obtuvo miles de datos de usuarios de Facebook para la campaña electoral del ahora presidente Donald Trump, un equipo de investigadores se ha dedicado a analizar las medidas de seguridad de la red social.
Con ello, han determinado que cada vez que los usuarios seleccionan la opción "iniciar sesión con Facebook" en una plataforma externa a Facebook, confían en que esa información será usada únicamente para ese propósito, sin embargo, se descubrió que esta función es fácilmente atacable por scripts de terceros.
El problema se origina en la función "Iniciar sesión con Facebook" que, como su nombre lo indica, permite iniciar sesión en sitios web con las credenciales de la red social en lugar de tener que crear cuentas separadas. Investigadores de la Universidad de Princeton, consignaron que esta función, utilizada en una infinidad de aplicaciones y sitios web, sirve de fuente para que desconocidos puedan rastrear y aprovechar fácilmente el nombre del usuario, correo y perfil público.
Ni siquiera tienen que ingresar al perfil mismo; cualquiera puede capturar la información y darle seguimiento. Así lo mencionaron los investigadores:
Los sitios web pueden solicitar la dirección de correo electrónico del usuario y el "perfil público" (nombre, rango de edad, sexo, ubicación y foto de perfil) sin activar una revisión manual de Facebook. Una vez que el usuario permite el acceso, cualquier Javascript de terceros incrustado en la página, como tracker.com, también puede recuperar la información del usuario como si fuera la primera fuente.
Esta exposición involuntaria de datos de Facebook a terceros no se debe a un error en la función de inicio de sesión de Facebook. Más bien, se debe a la falta de límites de seguridad.
Desde Facebook se defendieron diciendo que el ejercicio es una violación directa de sus políticas:
Mientras investigamos este problema, hemos tomado medidas inmediatas al suspender la capacidad de vincular el perfil de usuario con aplicaciones específicas. Estamos trabajando para establecer una autentificación adicional y limitación de velocidad para las solicitudes.
Investigadores publicaron una lista de algunos sitios que utilizan los scripts de terceros cuestionado.
Lidera la lista el TribunNews.