Сторонние ресурсы могут получать данные пользователей Facebook из-за отсутствия границ безопасности при регистрации на различных ресурсах с помощью аккаунта в соцсети. К такому выводу пришли аналитики организации Freedom to Tinkers, которые обнаружили две основные уязвимости, приводящие к утечке персональной информации из Facebook. Первый способ получить данные пользователя состоит в использовании механизма регистрации на сторонних ресурсах с помощью аккаунта в соцсети.
Facebook Login и другие аналогичные системы упрощают процесс создания учетной записи для пользователей, уменьшая количество паролей для запоминания. Однако этот метод связан с определенным риском. Когда человек соглашается «войти с помощью Facebook», ему предлагается разрешить целевому веб-сайту доступ к некоторым личным данным. Даже после недавних шагов Facebook по блокировке этой функции, веб-сайты могут запрашивать адрес электронной почты и «общедоступный профиль» (имя, возраст, пол, местоположение и фотографию профиля). 
После того, как пользователь разрешает доступ, любой сторонний Javascript, встроенный в страницу (например tracker.com на рисунке), также может извлекать информацию пользователя без его ведома. Авторы обнаружили семь скриптов, которые действуют в подобном ключе и внедрены на 434 из 1 миллиона топ-сайтов. Все из них получают ID пользователя, а два дополнительно запрашивают имя и адрес электронной почты. В исследовании высказывается предположение, что сайты, на которых встроены эти скрипты, не знают об их «побочном эффекте».
Вторая уязвимость состоит в отслеживании пользователей в интернете посредством сервиса службы Facebook Login. Некоторые ресурсы предлагают использовать вход через соцсеть для аутентификации пользователей на многих сайтах. Но, при этом возникает опасность деанонификации (раскрытия личности) пользователя сторонними ресурсами и использования данных из профиля для предоставления целевой рекламы. Это возникает, когда какой-либо трекер внедряется на стороннем ресурсе в виде iframe. Как только пользователь регистрируется в этом трекере, то сторонний ресурс также получает доступ к его данным.
Например, исследователи обнаружили такую схему на сайте Bandsintown (представлен на рисунке, как tracker.com, после обнаружения уязвимость исправлена), который позволяет посетителям узнавать о локальных концертах или других мероприятиях. Чтобы следить за каким-либо музыкантом или певцом, пользователи должны войти в систему с помощью Facebook и предоставить Bandsintown доступ к своему профилю, данным о городе, лайках, адресе электронной почты и музыкальной активности. Bandsintown использует для этого программные токены аутентификации для доступа к информации учетной записи Facebook.
Bandsintown предлагает рекламный сервис «Amplified», который присутствует на многих тематических сайтах, включая lyrics.com, songlyrics.com и lyricsmania.com. Когда пользователь Bandsintown просматривает веб-сайт, на котором размещается рекламный продукт «Amplified», рекламный скрипт включает невидимый iframe, который соединяется с приложением Facebook Bandsintown, и, используя установленные ранее токены аутентификации, обрабатывает ID пользователя Facebook. Затем iframe передает идентификатор пользователя обратно во внедренный скрипт, который использует полученные данные для предоставления целевой рекламы.
В Facebook нашли еще одну «пробоину»: 2 комментария