Un bug nella piattaforma pubblicitaria di Facebook ha permesso ai potenziali hacker di scoprire i numeri di telefono degli utenti, secondo un documento presentato dal professore associato del nordest Alan Mislove alla conferenza PrivacyCon della Federal Trade Commission il mese scorso.

Il sistema pubblicitario di Facebook è incredibilmente efficace nel raggiungere un pubblico specifico, che è ciò che ha reso l'azienda così redditizia, disse Mislove. Ma poiché chiunque può diventare un inserzionista, e c'è pochissima trasparenza in ciò che gli annunci vengono inseriti, la piattaforma "potrebbe essere utilizzata per scopi nefasti, " Ha detto Mislove. Ha dimostrato come nelle sue stesse ricerche.

Nelle versioni precedenti della piattaforma pubblicitaria di Facebook, gli inserzionisti possono scegliere come target le persone in base a tratti e preferenze. Per esempio, un'azienda che vende altoparlanti impermeabili potrebbe creare annunci destinati a uomini e donne di età compresa tra 16 e 40 anni interessati al nuoto, canottaggio, o sport acquatici.

Facebook ha aggiornato il sistema per offrire agli inserzionisti la possibilità di creare un pubblico personalizzato basato su un elenco di clienti esistente. Ciò significa che un'azienda potrebbe caricare un database di indirizzi e-mail su Facebook, e la piattaforma troverà tutti gli utenti corrispondenti sul sito e offrirà a quegli utenti un annuncio.

Molti utenti di Facebook scelgono di non rendere pubblici i propri indirizzi e-mail o numeri di telefono. E il sistema di annunci di Facebook non è progettato per consentire agli inserzionisti di conoscere le identità degli utenti sulla base di informazioni private. Ma Mislove ha scoperto che creando più segmenti di pubblico personalizzati, poteva fare riferimenti incrociati e abbinare gli utenti alle loro informazioni private.

Mislove e i suoi colleghi hanno avvisato Facebook del bug. è stato risolto, e i ricercatori hanno ricevuto $ 5, 000 tramite il programma bug bounty. Ma la funzione pubblicitaria non è esclusiva di Facebook, Mislove ha spiegato. LinkedIn, Twitter, e altre piattaforme hanno capacità di pubblico personalizzato simili. "La nostra preoccupazione è che questi potrebbero essere inavvertitamente perdite di informazioni, " Ha detto Mislove. "Volevamo richiamare l'attenzione sulla complessità di questi sistemi e sui modi in cui se ne può abusare".

Un altro gruppo nord-orientale, guidato dal dottorando Michael Weissbacher, ha anche presentato la ricerca a PrivacyCon. Weissbacher ha mostrato che dozzine di estensioni del browser popolari stavano perdendo la cronologia web degli utenti.

Weissbacher e il suo team hanno creato uno strumento chiamato Ex-Ray per rilevare perdite di dati in base al traffico di rete. Hanno scoperto che maggiore è la cronologia del browser di un utente, più dati venivano trapelati. Ex-Ray ha identificato 32 estensioni del browser, utilizzate da un totale combinato di 8 milioni di persone, che stavano perdendo attivamente i dati della cronologia web. Questi includevano estensioni popolari come AdBlocker per Google Chrome, e parlalo, un'estensione di sintesi vocale.

Weissbacher ha affermato che Google ha rimosso molte, ma non tutte, le estensioni dal suo negozio web dopo aver appreso che trapelava la cronologia del browser. Ha aggiunto che i creatori di queste estensioni potrebbero non essere stati consapevoli che trapelano. Però, il negozio web dovrebbe assumersi la responsabilità della scansione delle estensioni per assicurarsi che siano sicure, ha detto Weissbacher. Fino ad allora, consiglia agli utenti di eliminare le estensioni che non utilizzano regolarmente per ridurre il rischio di violazioni della privacy.

"Se le perdite si verificano intenzionalmente o inavvertitamente, sta ancora esponendo l'utente, "Ha detto Weissbacher.

La privacy è una preoccupazione anche sulle piattaforme mobili. Jingjing Ren, uno studente di dottorato in informatica, ha presentato una ricerca al PrivacyCon che mostra che alcune applicazioni Android sono diventate meno sicure nel tempo. Il suo team ha scoperto 13 app che hanno trapelato le informazioni personali degli utenti in almeno una versione dell'app.

"Un esempio notevole è Pinterest, "Ren ha detto, riferendosi a un'app popolare per caricare e salvare una varietà di contenuti. L'app mobile di Pinterest conta circa 140 milioni di utenti attivi. "In due versioni abbiamo studiato, l'app ha inviato accidentalmente le credenziali degli utenti a una terza parte sconosciuta che sembrava fornire servizi di interfaccia utente per Pinterest."

Ren ha detto che gli sviluppatori di Pinterest hanno risolto il problema entro un mese dalla scoperta e divulgazione del problema da parte del suo team. Però, altre quattro app:Meet24, FastMeet, Waplog, Monitoraggio del ciclo e dell'ovulazione:devono ancora affrontare le perdite di privacy.

"Alla fine della giornata, la privacy mobile è ancora una conversazione in corso tra i consumatori, sviluppatori di app, piattaforme di distribuzione di app, terzi, decisori politici, e altri soggetti interessati, " ha detto Ren.