Sabemos que existem alguns sites que solicitam permissão ao usuário para fazer login com sua conta do Facebook, em vez de exigir um cadastro separado você pode usar sua conta do Facebook sem problemas, mas isso nem sempre é uma excelente escolha. Recentemente, o Tinder teve problemas depois que a rede social fez mudanças na sua API.
De acordo com pesquisadores da Universidade de Princeton foi descoberto que 1 milhão de sites mais visitados do mundo, 434 usam código JavaScript de terceiros que intercepta dados do “Login com o Facebook”.
A interceptação dos dados acontece embasada em duas maneiras:
1) O usuário ao clicar em “Login com o Facebook”, e a rede social responde com os dados da conta do usuário.
Sabemos que estes dados deveriam ficar restritos ao domínio que foi autorizou.Porém, eles podem ser interceptados por um código JavaScript de terceiros. Através de um ID de usuário específico para o site, que pode ser convertido em um ID do Facebook e usado para obter mais informações sobre o visitante(você!).
2) Ocorre de maneira mais complexa. Por exemplo, visitando um site X que utiliza um rastreador, e ao clicar em “Conectar com Facebook”. A rede social envia um token para autorizar o acesso ao seu perfil.
E para ocorrer o processo em uma visita o site Y que usa o mesmo rastreador, ele coloca um iframe invisível do site X. Dessa forma, ele usa aquele mesmo token de autorização para obter seus dados do Facebook, e para acompanhar tudo o que você faz na web.
Já foram confirmados quais são os serviços de terceiros que interceptam dados do Facebook: Augur, Lytics, ntvk1.ru, ProPS, Tealium e Forter.
Em comunicado o Facebook diz que “a cópia de dados do usuário está em violação direta de suas políticas”.
Enquanto este problema é investigado, os ids que foram usados não serão mais permitidos vincular o seu ID de usuário a um site específico ao seu ID do Facebook.