Vulnerabilidades explotadas por los rastreadores de terceros para abusar de Facebook

Share this…

Hasta el momento, los investigadores han descubierto cómo los rastreadores web extraen información de identificación de páginas web, administradores de contraseñas de navegador y entradas de formularios.

Ahora, los expertos en seguridad informática informan sobre otro tipo de recopilación subrepticia de datos por scripts de terceros que descubrimos: la filtración de identificadores personales de sitios web a través de “iniciar sesión en Facebook” y otras API de inicio de sesión social. Específicamente, encontramos dos tipos de vulnerabilidades.

  • Siete terceros abusan del acceso de los sitios web a los datos de usuario de Facebook
  • un tercero utiliza su propia “aplicación” de Facebook para rastrear usuarios en la web.

Terceros a cuestas en el acceso de Facebook a sitios web

facebook abuse 1

Cuando un usuario hace clic en “Iniciar sesión con Facebook”, se le pedirá que permita que el sitio web que visita acceda a parte de su información de perfil de Facebook. Incluso después de los movimientos recientes de Facebook para bloquear la función, los sitios web pueden solicitar la dirección de correo electrónico del usuario y el “perfil público” (nombre, rango de edad, sexo, ubicación y foto de perfil) sin activar una revisión manual de Facebook. Una vez que el usuario permite el acceso, cualquier JavaScript de terceros incrustado en la página, como tracker.com en la figura anterior, también puede recuperar la información de Facebook del usuario como si fuera la primera parte.

Facebook Login y otros sistemas de inicio de sesión social simplifican el proceso de creación de cuentas para los usuarios al disminuir el número de contraseñas para recordar. Pero el inicio de sesión social conlleva riesgos: se descubrió que Cambridge Analytica hizo un uso incorrecto de los datos de los usuarios recopilados mediante una aplicación de cuestionario de Facebook que utilizó la función Iniciar sesión con Facebook. Los investigadores han encontrado un riesgo adicional: cuando un usuario concede acceso a un sitio web a su perfil de redes sociales, no solo confía en ese sitio web, sino también en los terceros integrados en ese sitio.

Los profesionales de la seguridad informática también encontraron siete scripts recolectando datos de usuarios de Facebook usando el acceso de Facebook de la primera parte. Estos scripts están integrados en un total de 434 de los mejores 1 millón de sitios. Los profesionales detallan cómo encontraron estos scripts en el Apéndice 1 a continuación. La mayoría de ellos toman la identificación del usuario y dos toman información adicional del perfil, como el correo electrónico y el nombre de usuario.

La identificación de usuario recopilada a través de la API de Facebook es específica para el sitio web (o la “aplicación” en la terminología de Facebook), lo que limitaría el potencial de seguimiento entre sitios. Pero estos ID de usuario con alcance de aplicación se pueden usar para recuperar la identificación de Facebook global, la foto de perfil del usuario y otra información de perfil público, que se puede usar para identificar y rastrear usuarios en sitios web y dispositivos.

facebook abuse 2

Es sencillo para un script de terceros obtener datos de la API de Facebook. El código es del script OpenTag que exfiltra el ID de Facebook del usuario a Lytics, una plataforma personalizada de marketing y datos del cliente. El script comprueba continuamente la existencia de la API de Facebook. Una vez que el usuario inicia sesión en Facebook, la secuencia de comandos de seguimiento puede consultar en silencio el estado de inicio de sesión del usuario. La respuesta a la consulta de estado de inicio de sesión contiene la identificación de Facebook del usuario, dicen los analistas de seguridad informática. El script luego analiza el ID de la respuesta y lo envía de vuelta a un servidor remoto.

Si bien no podemos decir cómo estos rastreadores utilizan la información que recopilan, podemos examinar su material de marketing para comprender cómo se puede utilizar. OnAudience, Tealium AudienceStream, Lytics y ProPS ofrecen alguna forma de “plataforma de datos del cliente”, que recopila datos para ayudar a los editores a monetizar mejor a sus usuarios. Forter ofrece “prevención de fraude basada en la identidad” para sitios de comercio electrónico. Augur ofrece servicios de seguimiento y reconocimiento de consumidores en varios dispositivos.

Seguimiento de usuarios en la web con el servicio de inicio de sesión de Facebook

Algunos terceros utilizan la función de inicio de sesión de Facebook para autenticar usuarios en muchos sitios web: Disqus, un widget de comentarios, es un ejemplo popular. Sin embargo, los rastreadores de terceros ocultos también pueden usar Facebook Login para desanonizar a los usuarios para publicidad dirigida. Esta es una violación de privacidad, ya que es inesperada y los usuarios no la conocen. Pero los profesionales de la seguridad informática preguntan: ¿cómo puede un rastreador oculto hacer que el usuario inicie sesión con Facebook? Cuando el mismo rastreador es también una primera parte que los usuarios visitan directamente. Esto es exactamente lo que encontramos en Bandsintown. Peor aún, lo hicieron de una manera que permitía que cualquier sitio malicioso incorporase el iframe de Bandsintown para identificar a sus usuarios.

facebook abuse 3

Los expertos en seguridad informática también descubrieron que el iframe inyectado por Bandsintown pasaría la información del usuario al guión de inclusión indiscriminadamente. Por lo tanto, cualquier sitio malicioso podría haber utilizado su iframe para identificar a los visitantes. Informamos a Bandsintown de esta vulnerabilidad y confirmaron que ahora está arreglada.

Para concluir, los investigadores en seguridad informática dicen que esta exposición involuntaria de datos de Facebook a terceros no se debe a un error en la función de inicio de sesión de Facebook. Más bien, se debe a la falta de límites de seguridad entre los scripts de terceros y de terceros en la web de hoy. Aún así, hay pasos que Facebook y otros proveedores de inicio de sesión social pueden tomar para evitar abusos: el uso de API puede auditarse para revisar cómo, dónde y qué partes acceden a los datos de inicio de sesión social. Facebook también podría rechazar la búsqueda de la imagen de perfil y los ID globales de Facebook por los ID de usuario con alcance de la aplicación. También podría ser el momento adecuado para hacer que el inicio de sesión anónimo con Facebook esté disponible luego de su anuncio hace cuatro años.

Varias compañías declararon que no usan datos de Facebook para fines de seguimiento de terceros.