新浪科技讯 北京时间4月19日上午消息,一份安全报告认为,有人将第三方JavaScript追踪器插入使用Login With Facebook(用Facebook帐户登录)的网站,抓取Facebook用户个人数据,Facebook向媒体证实,它对正在报告所说的问题展开调查。

  通过追踪器可以收集用户的一些数据,包括名字、邮箱地址、年龄段、性别、地点、照片等信息,具体要看用户向网站提供什么信息。这些追踪器到底会用数据来做些什么事呢?不是很清楚,目前只能知道的是:许多追踪器所有者会利用收集的用户数据提供盈利性服务,比如Tealium、AudienceStream、Lytics、ProPS就是这样做的。

第三方JavaScript追踪器收集用户数据图示第三方JavaScript追踪器收集用户数据图示

  报告来自Freedom To Tinker,它隶属于普林斯顿信息技术政策中心(Princeton's Center For Information Technology Policy)。研究人员将目光瞄准将近100万个网站,发现有434个网站滥用脚本,比如面向自由职业者的网站Fiverr.com、相机销售网站B&H Photo And Video、云数据提供商MongoDB。

  调查发现,演唱会网站BandsInTown将Login With Facebook用户数据发送到网站嵌入式脚本,这些网站安装了Amplified广告程序。隐藏的BandsInTown内嵌框架会在网站中加载,提取用户数据,然后就可以访问嵌入式脚本了。这样一来,恶意网站就能利用BandsInTown了解访问者的身份。虽然知道漏洞的存在,BandsInTown却没有进行修复。

  Facebook还没有发表正式声明回应此事,它只是告诉TechCrunch:“我们将会展开调查,然后回复您。”

  研究人员2017年1月从Alexa排名前100万位的网站中抽取5万个网站进行分析,得出上述结论。具体包括排名前15000位的所有网站,从1.5-10万位网站中随机抽取15000个网站,从10-100万位网站随机抽取2万个网站,总计5万个。(中天)