Bug vagy feature?

Az ügy kissé homályos, de nagyon valószínű, hogy ez az a szürke terület, melyről az érintettek nem szívesen beszélnek.

Nagyon sok weboldal és alkalmazás használja a Facebook univerzális bejelentkezési API-ját (Login With Facebook), hogy a felhasználók az adott szolgáltatásba a Facebook-fiókuk adataival is bejelentkezhessenek. Egy szerdán publikált jelentés szerint azonban a Princeton Egyetem egyik, információtechnológiával foglalkozó intézetének kutatói – akik általánosságban is azzal foglalkoznak, hogy harmadik felek milyen módszerekkel gyűjtenek személyes adatokat – bejelentették, hogy a Login With Facebook „sebezhető”, és lehetővé teszi a külsősöknek, hogy olyan nyomkövető szkripteket helyezzenek el, melyek a felhasználók lekérdezett profiladatait (pl. név, e-mail cím, kor, nem, földrajzi hely, profilkép stb.) annak tudta nélkül összegyűjtik.

Facebook login
[+]

A kutatók a legnépszerűbb egymillió weboldalból 434-en találták nyomát adnak, hogy a felhasználó bejelentkezése után egy adatgyűjtő szkript ágyazódott be, majd egy részük összeszedte az információkat, attól függően, hogy az eredeti weboldal milyen adatokat kért a bejelentkezéshez – azért egy részük, mivel egyes helyeken megtalálták a szkriptet, ám az inaktív volt. A problémát abban látják a kutatók, hogy ha a Facebook API-t használva gyűjtik az adatokat, azokat viszonylag egyszerű összekapcsolni a felhasználó nyilvános Facebook-profiljával, és ennek az információnak birtokában már követhető a felhasználó online tevékenysége.

A bejegyzés publikálása után a Facebook közölte, hogy felfüggesztik az API-ban ezt a lehetőséget, az összekapcsolás lehetőségét. A vállalati szóvivő kijelentette, hogy az ilyen adatbányászat a közösségi oldal felhasználási feltételeit sérti, ezért vizsgálatot is indítottak.

A kutatók összesen hét különböző típusú adatgyűjtő szkriptet találtak, ezek közül egynél azonosították, hogy egy „speciális” vállalathoz köthető, a többi marketingcégekhez és csalásmegelőzéssel foglalkozó vállalkozásokhoz tartozik – közülük egy a publikáció megjelenése után leállította az API-n keresztüli adatgyűjtést. Azok közül, akik válaszoltak az Wired megkeresésére, többen kijelentették, hogy legális tevékenységet folytatnak, nem kereskednek az adatokkal, nem adják ki őket.

Előzmények