Facebook doet onderzoek naar een beveiligingsrapport waarin onthuld wordt dat je Facebook-data gestolen kan worden door JavaScript-trackers. Daarvoor moeten de trackers wel in een website waarmee je kunt inloggen met Facebook geplaatst worden. Dat meldt TechCrunch.
De tracker kan niet alleen je naam en e-mailadres stelen, maar ook hoe oud je bent, welk geslacht je hebt en mogelijk je profielfoto. Dit hangt echter af van hoeveel toegang je de website geeft tot jouw gegevens.
De tracker verzamelt je informatie zodra je inlogt. Dit gebeurt dus met JavaScript, een programmeertaal die veel op het internet gebruikt wordt. Wat er precies met de data gedaan wordt, is onbekend.
Directe overtreding
De kwetsbaarheid werd ontdekt door Freedom to Tinker, een website van het Princeton Center for Information Technology Policy. De website plaatste 431 websites met malafide code die voorkomen in de top miljoen websites.
Een woordvoerder van Facebook stelt dat het verzamelen van gebruikersdata een directe overtreding van de voorwaarden is. “Terwijl we dit probleem onderzoeken, hebben we direct actie ondernomen door de mogelijkheid voor specifieke apps om unieke gebruikersID’s (waarmee een gebruiker herkend wordt, red.) te linken aan individuele profielpagina’s geschorst.”
Daarnaast werkt het sociale medium aan een extra vorm van authenticatie.
Gebrek aan beveiligingsgrenzen
Overigens is het verzamelen van gebruikersdata door dit soort trackers geen gevolg van een fout in de login-functie van Facebook zelf. Het is een gevolg van “een gebrek aan beveiligingsgrenzen tussen scripts van een app en van derde partijen op het hedendaagse web.”