Centinaia di siti web ospitano strumenti per il tracciamento di altre società che raccolgono i dati dei visitatori quando questi effettuano un'iscrizione usando la funzione di Login via Facebook. Il Login via Facebook (o Pulsante Accedi) permette ai siti web di far iscrivere i loro visitatori cliccando su un bottone che va a prendersi alcuni dati dei loro profili sul social (invece di far inserire i dati a mano).
Ora, ricercatori dell'università di Princeton hanno scoperto che 434 siti tra il milione di quelli più visitati caricano pezzi di codice Javascript di terze parti che intercettano ed estraggono alcune informazioni degli utenti quando questi usano il loro profilo Facebook per accedere al sito in questione. I dati estratti possono essere l'identificativo usato su Facebook ma anche l'email, il nome utente, il genere, e la foto profilo. Anche se molti di questi siti non sarebbero consapevoli di tale appropriazione di dati da parte di società esterne.
Come funziona
Quando un utente clicca su Login con Facebook su un sito web, gli sta consentendo di accedere ad alcune informazioni del proprio profilo. Ma se sono presenti sulla pagina web dei tracker di altre società, ovvero degli strumenti, dei codici che raccolgono dati sull'attività svolta su quelle pagine, anche questi tracker, e di conseguenza le società cui sono collegati, possono accedere alle informazioni Facebook dell'utente. Che invece dovrebbero passare solo al sito web che sta visitando.
"L'esposizione non voluta di dati Facebook a terze parti non è frutto di un baco nella funzione di login di Facebook, ma della mancanza di confini di sicurezza" nel web attuale tra chi fornisce il servizio e i tracker utilizzati da altre società, scrivono i ricercatori nello studio intitolato "Nessun confine per i dati Facebook: i tracker di terze parti abusano il login via Facebook".
La scoperta arriva in un momento difficile per Facebook, dopo lo scandalo Cambridge Analytica e dopo che il social network ha preso una serie di misure correttive, tra cui un aggiornamento delle impostazioni per gli utenti in modo da adeguarsi al nuovo Regolamento europeo sulla privacy, pienamente effettivo dal 25 maggio.