第三方JavaScript追踪器收用户数据 Facebook正调查|Facebook|用户|数据

　　新浪科技讯 北京时间4月19日上午消息，一份安全报告认为，有人将第三方JavaScript追踪器插入使用Login With Facebook（用Facebook帐户登录）的网站，抓取Facebook用户个人数据，Facebook向媒体证实，它对正在报告所说的问题展开调查。

　　通过追踪器可以收集用户的一些数据，包括名字、邮箱地址、年龄段、性别、地点、照片等信息，具体要看用户向网站提供什么信息。这些追踪器到底会用数据来做些什么事呢？不是很清楚，目前只能知道的是：许多追踪器所有者会利用收集的用户数据提供盈利性服务，比如Tealium、AudienceStream、Lytics、ProPS就是这样做的。

第三方JavaScript追踪器收集用户数据图示

　　报告来自Freedom To Tinker，它隶属于普林斯顿信息技术政策中心（Princeton's Center For Information Technology Policy）。研究人员将目光瞄准将近100万个网站，发现有434个网站滥用脚本，比如面向自由职业者的网站Fiverr.com、相机销售网站B&H Photo And Video、云数据提供商MongoDB。

　　调查发现，演唱会网站BandsInTown将Login With Facebook用户数据发送到网站嵌入式脚本，这些网站安装了Amplified广告程序。隐藏的BandsInTown内嵌框架会在网站中加载，提取用户数据，然后就可以访问嵌入式脚本了。这样一来，恶意网站就能利用BandsInTown了解访问者的身份。虽然知道漏洞的存在，BandsInTown却没有进行修复。

　　Facebook还没有发表正式声明回应此事，它只是告诉TechCrunch：“我们将会展开调查，然后回复您。”

　　研究人员2017年1月从Alexa排名前100万位的网站中抽取5万个网站进行分析，得出上述结论。具体包括排名前15000位的所有网站，从1.5-10万位网站中随机抽取15000个网站，从10-100万位网站随机抽取2万个网站，总计5万个。(中天)