Een bug in het advertentieplatform van Facebook maakte het mogelijk voor potentiële hackers om de telefoonnummers van gebruikers te achterhalen, volgens een paper gepresenteerd door Northeastern universitair hoofddocent Alan Mislove op de Federal Trade Commission-conferentie PrivacyCon vorige maand.

Het Facebook-advertentiesysteem is ongelooflijk effectief in het targeten van specifieke doelgroepen, dat is wat het bedrijf zo lucratief heeft gemaakt, Mislove gezegd. Maar omdat iedereen adverteerder kan worden, en er is zeer weinig transparantie in welke advertenties worden geplaatst, het platform "zou kunnen worden gebruikt voor snode doeleinden, " Zei Mislove. Hij demonstreerde hoe in zijn eigen onderzoek.

In eerdere versies van het Facebook-advertentieplatform, adverteerders kunnen mensen targeten op basis van eigenschappen en voorkeuren. Bijvoorbeeld, een bedrijf dat waterdichte luidsprekers verkoopt, kan advertenties opzetten voor mannen en vrouwen van 16 tot 40 jaar die geïnteresseerd zijn in zwemmen, varen, of watersporten.

Facebook heeft het systeem bijgewerkt om adverteerders de mogelijkheid te geven om aangepaste doelgroepen te maken op basis van een bestaande klantenlijst. Dat betekent dat een bedrijf een database met e-mailadressen kan uploaden naar Facebook, en het platform zal alle overeenkomstige gebruikers op de site vinden en die gebruikers een advertentie aanbieden.

Veel Facebook-gebruikers kiezen ervoor om hun e-mailadres of telefoonnummer niet openbaar te maken. En het advertentiesysteem van Facebook is niet ontworpen om adverteerders de identiteit van gebruikers te laten leren op basis van privé-informatie. Maar Mislove ontdekte dat door meerdere aangepaste doelgroepen te maken, hij kon kruisverwijzingen maken naar gebruikers en deze koppelen aan hun privégegevens.

Mislove en zijn collega's hebben Facebook op de hoogte gesteld van de bug. Het stond vast, en de onderzoekers ontvingen $ 5, 000 via het bug bounty-programma. Maar de advertentiefunctie is niet uniek voor Facebook, Misliefde uitgelegd. LinkedIn, Twitter, en andere platforms hebben vergelijkbare aangepaste doelgroepmogelijkheden. "Onze zorg is dat deze per ongeluk informatie kunnen lekken, Mislove zei. "We wilden de aandacht vestigen op de complexiteit van deze systemen en de manieren waarop ze kunnen worden misbruikt."

Een andere noordoostelijke groep, onder leiding van promovendus Michael Weissbacher, presenteerde ook onderzoek op PrivacyCon. Weissbacher toonde aan dat tientallen populaire browserextensies de webgeschiedenis van gebruikers lekten.

Weissbacher en zijn team creëerden een tool genaamd Ex-Ray om datalekken te detecteren op basis van netwerkverkeer. Ze ontdekten dat hoe groter de browsergeschiedenis van een gebruiker, hoe meer gegevens er werden gelekt. Ex-Ray identificeerde 32 browserextensies - gebruikt door in totaal 8 miljoen mensen - die actief webgeschiedenisgegevens lekten. Deze omvatten populaire extensies zoals AdBlocker voor Google Chrome, en spreek het, een tekst-naar-spraak-extensie.

Weissbacher zei dat Google veel, maar niet alle, extensies uit zijn webwinkel heeft verwijderd nadat ze erachter kwamen dat ze de browsergeschiedenis hadden gelekt. Hij voegde eraan toe dat de makers van deze extensies misschien niet wisten dat ze lekken. Echter, de webwinkel moet de verantwoordelijkheid op zich nemen voor het scannen van de extensies om ervoor te zorgen dat ze veilig zijn, zei Weissbacher. Tot dan, hij raadt gebruikers aan extensies te verwijderen die ze niet regelmatig gebruiken om het risico op privacyschendingen te verkleinen.

"Of de lekken nu kwaadwillig of onopzettelijk gebeuren, het stelt de gebruiker nog steeds bloot, ' zei Weissbacher.

Privacy is ook een punt van zorg op mobiele platforms. Jingjing Ren, een doctoraatsstudent in de informatica, presenteerde onderzoek op PrivacyCon waaruit blijkt dat sommige Android-applicaties in de loop van de tijd minder veilig zijn geworden. Haar team ontdekte 13 apps die persoonlijke informatie van gebruikers lekten in ten minste één versie van de app.

"Een opmerkelijk voorbeeld is Pinterest, "Ren zei, verwijzend naar een populaire app voor het uploaden en opslaan van een verscheidenheid aan inhoud. De mobiele app van Pinterest heeft ongeveer 140 miljoen actieve gebruikers. "In twee versies hebben we onderzocht, de app heeft per ongeluk de inloggegevens van gebruikers naar een niet nader genoemde derde partij gestuurd die gebruikersinterfacediensten voor Pinterest leek te leveren."

Ren zei dat de ontwikkelaars van Pinterest het probleem hadden opgelost binnen een maand nadat haar team het had ontdekt en onthuld. Echter, vier andere apps:Meet24, FastMeet, waplog, Periode en ovulatietracker - moeten hun privacylekken nog aanpakken.

"Aan het eind van de dag mobiele privacy is nog steeds een voortdurend gesprek tussen consumenten, app-ontwikkelaars, app-distributieplatforms, derden, beleidsmakers, en andere belanghebbenden, ' zei Ren.