Logowanie z Facebookiem może być ryzykowne, zewnętrze skrypty kradną dane
Biblioteki JavaScript z różnych usług reklamowych i analitycznych przesyłają dane użytkowników ze stron internetowych, na których jest używana funkcja Zaloguj się za pomocą Facebooka. Naukowcy z Uniwersytetu Princeton przeanalizowali około milion stron. Na 434 z nich znaleziono zewnętrzne skrypty, które pobierają informacje o logowaniu.
Zespół badawczy twierdzi, że gromadzenie danych odbywa się zwykle na dwa różne sposoby. Pierwszy przypadek dotyczy witryn używających funkcji Zaloguj się za pomocą Facebooka, która dla wielu internautów jest najczęściej wykorzystywaną formą uwierzytelnienia. Aby zalogować użytkownikam funkcja ta wysyła żądanie do serwerów Facebooka, których odpowiedzią są dane użytkownika.
Skrypt, który działa na stronie logowania może przechwycić te dane.Naukowcy z Princeton zidentyfikowali siedem usług śledzących użytkownika, które używały takiego schematu.
Może się wydawać, że dane pobierane przez biblioteki JavaScript nie mogą dostarczyć zbyt wielu informacji o użytkowniku. Jednak oddział badaczy z Princeton twierdzi, że zdobyć w ten sposób można identyfikator użytkownika na Facebooka, co może pozwolić na przykład na jego śledzenie.
Drugi sposób pobierania danych więcej ma wspólnego z klasycznym phishingiem. Gdy strona używa funkcji Zaloguj się za pomocą Facebooka, skrypt może osadzić na stronie ukrytą pływającą ramkę, która ma zmylić użytkowników, aby wpisali w nią swoje dane logowania. Tak samo jak w pierwszym scenariuszu, program przechwytuje dane i wyodrębnia dane o użytkowniku.
