Hồ sơ Facebook đã trở thành những danh tính thực tế của mọi người trên internet. Điều này là nhờ vào Login With Facebook, giao diện API đăng nhập chung của mạng xã hội này, cho phép người dùng mang theo thông tin hồ sơ của họ đến các ứng dụng và trang web khác. Bạn có thể đã sử dụng nó để đăng nhập vào các dịch vụ như Spotify, Airbnb và Tinder. Nhưng đôi khi, đặc biệt là trên những trang web ít người biết đến, việc sử dụng tính năng đăng nhập chung của Facebook có thể mang theo những rủi ro về an ninh, theo nghiên cứu mới từ Đại học Princeton được công bố vào thứ Tư.
Trong một nghiên cứu chưa qua xem xét đồng nghiệp được công bố trên Freedom To Tinker, một trang web do Trung tâm Chính sách Công nghệ Thông tin của Princeton tổ chức, ba nhà nghiên cứu ghi chép cách các đoạn mã theo dõi của bên thứ ba có khả năng thu thập thông tin từ API đăng nhập của Facebook mà người dùng không biết. Các đoạn mã theo dõi được ghi chép bởi Steven Englehardt, Gunes Acar và Arvind Narayanan đại diện cho một phần nhỏ của hệ sinh thái theo dõi ẩn sau web mà phần lớn người dùng không biết đến.
“Chúng tôi chưa bao giờ nghĩ rằng điều này có thể xảy ra. Điều này thật sự làm chúng tôi ngạc nhiên,” Acar nói. "Điều này đang can thiệp vào một API xã hội, mà theo dự kiến bạn không nên—nhưng điều này nghe có vẻ vượt quá giới hạn."
Các nhà nghiên cứu phát hiện rằng đôi khi khi người dùng cho phép một trang web truy cập hồ sơ Facebook của họ, các đoạn mã theo dõi của bên thứ ba được nhúng trên trang web cũng đang nhận dữ liệu đó. Điều này có thể bao gồm tên người dùng, địa chỉ email, tuổi, ngày sinh và các thông tin khác, tùy thuộc vào thông tin mà trang web gốc yêu cầu truy cập. Nghiên cứu cho thấy rằng loại kịch bản theo dõi cụ thể này xuất hiện trên 434 trang web hàng đầu trong một triệu trang web hàng đầu trên internet, mặc dù không phải tất cả chúng đều truy vấn dữ liệu từ Facebook API—nhà nghiên cứu chỉ xác nhận rằng một kịch bản như vậy đã xuất hiện.
Hầu hết các đoạn mã mà các nhà nghiên cứu kiểm tra lấy ID người dùng duy nhất của trang web đó, cũng như tên và email của người đó. Nhưng vấn đề là, bằng cách sử dụng API của Facebook, bạn có thể dễ dàng liên kết ID duy nhất đó với hồ sơ Facebook của người đó. Ví dụ, một đoạn theo dõi có thể đã đăng ký rằng Người truy cập 1 đã vào một trang web, nhưng với Facebook Login, họ có thể kết nối người đó với hồ sơ truyền thông xã hội công cộng của họ. Thông tin đó có thể được sử dụng để theo dõi người dùng qua các trang web và thiết bị khác nhau.
Sau khi Princeton công bố nghiên cứu của họ, Facebook tuyên bố sẽ đình chỉ khả năng này.
“Thu thập dữ liệu người dùng Facebook là vi phạm trực tiếp chính sách của chúng tôi. Trong khi chúng tôi đang điều tra vấn đề này, chúng tôi đã thực hiện ngay hành động bằng cách đình chỉ khả năng liên kết ID người dùng duy nhất cho các ứng dụng cụ thể với các trang cá nhân Facebook cụ thể, và đang nỗ lực thiết lập xác thực bổ sung và giới hạn tần suất cho các yêu cầu hình ảnh hồ sơ đăng nhập Facebook," người phát ngôn của Facebook nói trong một tuyên bố.
Các nhà nghiên cứu Princeton xác định bảy đoạn mã khác nhau có khả năng lấy thông tin từ API đăng nhập Facebook, trong đó có một đoạn mà họ không thể liên kết với một công ty cụ thể. Các đoạn mã còn lại được tạo ra bởi sáu công ty tiếp thị và ngăn chặn gian lận: Lytics, ProPS, Tealium, Forter và OnAudience, công ty cuối cùng đã ngừng thu thập thông tin từ API đăng nhập Facebook sau khi một nghiên cứu theo dõi bên thứ ba khác được tiến hành bởi một trong những nhà nghiên cứu cùng một lúc vào tháng 12. Trong một tuyên bố, OnAudience nhấn mạnh rằng nền tảng có khả năng này, behavioralengine.com, không còn tồn tại, và nền tảng hiện tại của họ sử dụng công nghệ khác nhau để thu thập dữ liệu. ProPS không ngay lập tức phản hồi yêu cầu nhận xét.
Adam Corey, Giám đốc tiếp thị Tealium, cũng như James McDermott, Giám đốc điều hành của Lytics, giải thích rằng những phát hiện của nhà nghiên cứu Princeton không đơn giản như chúng có vẻ, phần vì hệ sinh thái theo dõi trên internet quá phức tạp. Trước hết, quan trọng là hiểu những công ty này, và những công ty tương tự khác, thực sự làm gì. Họ tạo phần mềm và công cụ theo dõi mà các trang web có thể sử dụng để biết thông tin về khách hàng của họ, mà các trang web trả tiền. Nói cách khác, một trang web có thể mua một sản phẩm theo dõi từ một trong những công ty này, và sau đó sử dụng nó để lấy thông tin từ API của Facebook. Nhưng khả năng đó thường không phải là điều mà một công ty dự định sử dụng công cụ của họ.
McDermott nói rằng mặc dù có thể thay đổi mã của công cụ theo dõi Lytics để lấy thông tin từ API của Facebook, nhưng đó là điều anh ta sẽ khuyến khích khách hàng của mình không làm, và không phải là hành vi mà công ty của anh ta đã thấy. "Trong mọi trường hợp, chúng tôi không thấy triển khai đó," anh ta nói. Anh ấy nhấn mạnh rằng công ty của anh ấy cũng không kiểm soát việc khách hàng cài đặt API đăng nhập Facebook và không thể xem hoặc xem xét bất kỳ dữ liệu nào mà khách hàng của họ thu thập.
Corey nói nhiều điều tương tự. "Không, chúng tôi không truy vấn API của Facebook để lấy bất kỳ thông tin người dùng nào," anh ta nói trong một tuyên bố. "Tealium đang kinh doanh việc giúp các công ty quản lý dữ liệu chảy giữa người dùng và tài sản kỹ thuật số của họ. Chúng tôi không quan tâm, cũng như chúng tôi nghĩ rằng việc một công ty lợi dụng hoặc sử dụng loại dữ liệu này cho bất kỳ mục đích nào khác là không chấp nhận được." Cả Corey và McDermott đều nói họ không bán dữ liệu mà khách hàng của họ thu thập.
Forter cho biết họ đã bị đưa vào kết quả của Princeton một cách không chính xác. "Dữ liệu Facebook và ID người dùng chưa bao giờ được JavaScript của Forter sử dụng để cung cấp dịch vụ của chúng tôi cho một nhà cung cấp. Báo cáo cụ thể này đưa ra giả định sai lầm dựa trên thông tin không chính xác và do đó, chúng tôi đang thực hiện hành động để đảm bảo nó được sửa chữa thông qua việc loại bỏ Forter. Forter tuân thủ các tiêu chuẩn bảo vệ dữ liệu cao nhất và đang điều tra nguồn gốc của những tuyên bố không chính xác này," người phát ngôn của công ty nói trong một tuyên bố.
Tuy nhiên, nghiên cứu của Princeton nhấn mạnh những rủi ro liên quan đến việc người dùng đưa dữ liệu Facebook của họ đến các phần khác của web, nơi họ có thể không hiểu cách nó được thu thập và phân tích. Ví dụ, Cambridge Analytica đã có thể có được thông tin của đến 87 triệu người do người dùng đã chia sẻ dữ liệu Facebook của họ với một ứng dụng kiểm tra tính cách.
Nếu bạn muốn tránh việc dữ liệu của mình bị thu thập theo cách mà nghiên cứu mô tả, hãy cẩn trọng khi sử dụng tính năng đăng nhập chung của Facebook trên các trang web bạn có thể không thường xuyên ghé thăm hoặc nơi tính năng không nhất thiết làm cho việc sử dụng trang web trở nên thuận tiện hơn. Việc cài đặt một công cụ chặn quảng cáo đáng tin cậy, như Adblock Plus, cũng sẽ giúp tránh nhiều đoạn mã theo dõi khỏi truy cập bất kỳ thông tin nào về bạn, mặc dù các nhà nghiên cứu Princeton chưa kiểm tra xem nó có chặn các đoạn mã cụ thể liên quan đến lỗ hổng này hay không.
Năm 2014, Facebook cho biết họ đang tạo Anonymous Login, "một cách để đăng nhập vào ứng dụng mà không chia sẻ bất kỳ thông tin cá nhân từ Facebook nào." Họ không bao giờ thực hiện kế hoạch đó.
- Các nhà phê bình nói rằng mạng xã hội này đang dẫn dắt mọi người rời xa khỏi bảo vệ quyền riêng tư trước những quy định mới
- Làm thế nào cuộc kiểm tra quyền riêng tư của Facebook vào năm 2017 đã bị thất bại trong việc phát hiện ra Cambridge Analytica
- Thậm chí tồi tệ hơn: Công ty dữ liệu có thể đã truy cập vào tin nhắn riêng của người dùng trên Facebook
CẬP NHẬT: Ngày 19 tháng 4, 2018, 22:04 EST: Câu chuyện này đã được cập nhật với bình luận từ Forter
CẬP NHẬT: Ngày 20 tháng 4, 2018, 9:18 AM EST: Câu chuyện này đã được cập nhật với bình luận từ OnAudience