La confidentialité sur les réseaux sociaux devrait être une préoccupation majeure pour les utilisateurs en ligne. Cependant, la plupart des gens ignorent les méfaits des réseaux sociaux et des développeurs d'applications qui abusent souvent de leurs informations personnelles.
La méthode CanaryTrap aide à identifier l'utilisation abusive des données
Heureusement, un groupe d'universitaires a créé une méthode qui peut aider à l'identification des développeurs d'applications Facebook qui partagent des données utilisateur avec des tiers. La méthode a été surnommée CanaryTrap. Voyons voir comment ça fonctionne.
Il existe de nombreux exemples d'utilisation abusive des données de développeurs d'applications tiers. En général, authentification unique (SSO) les applications sur Facebook nécessitent généralement l'accès aux données personnelles d'un utilisateur, comme l'adresse e-mail, date de naissance, sexe, et aime.
Le problème est que les applications tierces ayant accès aux détails personnels d'un grand nombre d'utilisateurs ont un potentiel élevé d'utilisation abusive, les chercheurs soulignent dans leur papier blanc. Le nombre d'incidents de détournement de données très médiatisés par des applications tierces sur les réseaux sociaux en ligne est plus important qu'il ne devrait l'être. N'oublions pas le scandale Cambridge Analytica.
Il y a un manque de méthodes pour détecter systématiquement l'utilisation abusive des données par des applications tierces. Le principal problème est que les plateformes de réseaux sociaux en ligne perdent le contrôle de leurs données une fois qu'elles sont récupérées par des applications tierces. Ces applications tierces peuvent stocker les données récupérées sur leurs serveurs d'où elles peuvent être transférées à d'autres entités. Ni les utilisateurs ni les réseaux sociaux en ligne n'ont de visibilité sur l'utilisation des données stockées sur les serveurs d'applications tierces. Cela rend le problème de la détection de l'utilisation abusive des données extrêmement difficile car il est difficile de suivre quelque chose qui n'est pas sous votre contrôle.
Si, comment la méthode CanaryTrap aidera-t-elle à résoudre le problème de l'utilisation abusive des données?
Explication de la méthode CanaryTrap
La méthode CanaryTrap tourne autour de ce qu'on appelle un honeytoken. Les Honeytokens sont décrits comme des mots ou des enregistrements fictifs, ajouté aux bases de données légitimes. Les Honeytokens permettent aux administrateurs de suivre les données au cas où ils ne seraient pas en mesure de suivre. Honeytokens peut être une adresse e-mail ou des détails de carte de crédit qui peuvent être divulgués ou partagés intentionnellement pour détecter leur utilisation non reconnue ou potentiellement non autorisée, le papier explique. Cette détection se fait à l'aide de différents canaux de surveillance:
Par exemple, si une adresse e-mail est partagée en tant que jeton de miel, les e-mails reçus agissent comme le canal de détection de l'utilisation non reconnue de l'adresse e-mail partagée. Nous concevons et mettons en œuvre CanaryTrap pour enquêter sur l'utilisation abusive des données partagées avec des applications tierces sur Facebook. Nous partageons l'adresse e-mail associée à un compte Facebook en tant que jeton de miel en installant une application tierce, puis surveillons les e-mails reçus pour détecter toute utilisation non reconnue de l'adresse e-mail partagée.. Nous concluons qu'un jeton de miel partagé avec une application tierce a été potentiellement mal utilisé si l'expéditeur d'un e-mail reçu ne peut pas être reconnu comme l'application tierce.
Les chercheurs exploitent également le fait que les annonceurs sur Facebook ont la possibilité d'utiliser des adresses e-mail pour cibler des audiences personnalisées. L'équipe utilise l'outil de transparence des publicités de Facebook, appelé "Pourquoi est-ce que je vois ça?"Pour observer les annonceurs qui ont utilisé le miel partagé pour lancer des campagnes publicitaires auprès de publics personnalisés sur la plate-forme sociale. La conclusion est que les honeytokens qui ont été partagés avec une application tierce ont été mal utilisés au cas où l'annonceur ne pourrait pas être reconnu comme l'application tierce.
Les chercheurs ont déclaré avoir testé 1,024 Applications Facebook dont ils ont trouvé 16 applications partageant des adresses e-mail avec des tiers. Les utilisateurs ont donc reçu des e-mails d'expéditeurs inconnus. Seulement 9 du 16 les applications ont révélé qu'elles étaient associées à l'expéditeur de l'e-mail. Le faible nombre de ces applications détectées est dû au petit échantillon de 1,204 applications utilisées dans la recherche. L'équipe estime que si plus d'applications sont étudiées, le nombre d'applications utilisant abusivement les informations utilisateur sera beaucoup plus important.
La mauvaise gestion des données utilisateur par Facebook n'est pas une actualité
En Avril 2019, Les chercheurs d'UpGuard Cyber Risk ont découvert un demi-milliard d'enregistrements de millions d'utilisateurs de Facebook qui étaient ouvertement accessibles à l'Internet public. Les enregistrements ont été trouvés sur les serveurs cloud non protégés Amazon. Apparemment, deux tiers des jeux de données développés app Facebook exposaient les détails des utilisateurs à l'Internet.
Tous les ensembles de données avaient quelque chose en commun – ils proviennent tous des utilisateurs de Facebook et présentent des informations sensibles en détail, tels que les intérêts, des relations, et les interactions. Ces détails étaient disponibles pour les développeurs d'applications tiers.
En mai 2020, Facebook a fait face à une autre sanction pour de fausses allégations de confidentialité des données. Selon le Bureau de la concurrence du Canada, Facebook a mal géré les informations utilisateur en créant le faux sentiment que les utilisateurs pourraient contrôler qui pourrait voir et accéder à leurs informations personnelles via des fonctionnalités de confidentialité. La pénalité est estimée à CAD 9 million, ce qui équivaut à USD 6.5 million, et EUR 5.9 million.