Facebook изучает отчет о безопасности, который показывает, что пользовательские данные Facebook могут быть перехвачены с помощью трекеров JavaScript, если они установлены на веб-сайтах, которые позволяют пользователям входить в систему со своими учетными данными в Facebook. Не только их имя и адрес электронной почты: эксплойт ловит возрастной диапазон, пол, язык и, возможно, фотографию профиля, в зависимости от того, насколько доступ пользователя разрешен указанному сайту. Как только кто-то войдет в систему, любой сторонний JavaScript может якобы получить информацию по своему усмотрению.

В отчете, опубликованном на веб-сайте Центра политики информационных технологий Принстона «Freedom to Tinker», было перечислено 431 из одного миллиона сайтов, в которые встроены скрытые сценарии. Список включил поставщика облачной базы данных MongoDB до тех пор, пока TechCrunch не привлек внимание к этой проблеме, после чего они якобы закрыли оскорбительный скрипт.

«Перехваты пользовательских данных Facebook прямо противоречит нашим политикам», - сказал представитель компании. «Пока мы изучаем эту проблему, мы немедленно приняли меры, приостановив возможность связывания уникальных идентификаторов пользователей для конкретных приложений с отдельными страницами профиля Facebook и работаем над тем, чтобы ввести дополнительную аутентификацию и ограничение скорости для запросов на просмотр фотографий в Facebook».

В отчете сделан вывод о том, что разоблаченные пользовательские данные не были вызваны ошибкой в функции входа в систему Facebook - вместо этого она появилась «из-за отсутствия границ безопасности между сторонними скриптами в сегодняшнем Интернете». Чтобы исправить эту лазейку, авторы отчета рекомендуют Facebook (и любые другие службы, имеющие социальные входы) проверять свои API, чтобы просмотреть, кто обращается к данным входа. Они также рекомендуют, наконец, сделать анонимный вход с Facebook доступным после того, как он был анонсирован четыре года назад.