Privacy op sociale media moet een topprioriteit zijn voor online gebruikers. Echter, de meeste mensen zijn zich niet bewust van de wandaden van sociale netwerken en app-ontwikkelaars die vaak hun persoonlijke informatie misbruiken.
De CanaryTrap-methode helpt bij het identificeren van gegevensmisbruik
Gelukkig, een groep academici heeft een methode ontwikkeld die kan helpen bij het identificeren van Facebook-app-ontwikkelaars die gebruikersgegevens delen met derden. De methode is CanaryTrap genoemd. Laten we eens kijken hoe het werkt.
Er zijn tal van voorbeelden van misbruik van gegevens door externe app-ontwikkelaars. Algemeen, eenmalig inloggen (SSO) apps op Facebook vereisen meestal toegang tot de persoonlijke gegevens van een gebruiker, zoals e-mailadres, geboortedatum, geslacht, en houdt van.
Het probleem is dat apps van derden met toegang tot persoonlijke gegevens van een groot aantal gebruikers een groot risico op misbruik hebben, stellen de onderzoekers in hun wit papier. Het aantal spraakmakende incidenten van gegevensmisbruik door apps van derden op online sociale netwerken is groter dan het zou moeten zijn. Laten we het Cambridge Analytica-schandaal niet vergeten.
Er is een gebrek aan methoden om systematisch misbruik van gegevens door apps van derden te detecteren. Het belangrijkste probleem is dat online sociale netwerkplatforms de controle over hun gegevens verliezen zodra ze zijn opgehaald door apps van derden. Deze apps van derden kunnen de opgehaalde gegevens op hun servers opslaan van waaruit ze verder kunnen worden overgedragen aan andere entiteiten. Noch gebruikers, noch online sociale netwerken hebben zicht op het gebruik van gegevens die zijn opgeslagen op de servers van apps van derden. Dit maakt het probleem van het detecteren van gegevensmisbruik uiterst uitdagend, omdat het moeilijk is iets te volgen dat niet onder uw controle valt.
Dus, hoe helpt de CanaryTrap-methode tegen het probleem van gegevensmisbruik?
CanaryTrap-methode uitgelegd
De CanaryTrap-methode draait om iets dat een honingteken wordt genoemd. Honingtokens worden beschreven als fictieve woorden of records, toegevoegd aan legitieme databases. Met Honeytokens kunnen beheerders gegevens bijhouden in gevallen die ze niet zouden kunnen volgen. Honeytokens kunnen e-mailadres- of creditcardgegevens zijn die kunnen worden gelekt of opzettelijk kunnen worden gedeeld om hun niet-herkend of mogelijk ongeoorloofd gebruik te detecteren, het papier legt uit. Deze detectie gebeurt met behulp van verschillende bewakingskanalen:
Bijvoorbeeld, als een e-mailadres wordt gedeeld als een honingteken, dienen ontvangen e-mails als het kanaal voor het detecteren van niet-herkend gebruik van het gedeelde e-mailadres. We ontwerpen en implementeren CanaryTrap om misbruik van gegevens te onderzoeken die worden gedeeld met apps van derden op Facebook. We delen het e-mailadres dat is gekoppeld aan een Facebook-account als een honingteken door een app van derden te installeren en controleren vervolgens de ontvangen e-mails om elk niet-herkend gebruik van het gedeelde e-mailadres te detecteren. We concluderen dat een honeytoken die wordt gedeeld met een app van derden mogelijk is misbruikt als de afzender van een ontvangen e-mail niet kan worden herkend als de app van derden.
De onderzoekers maken ook gebruik van het feit dat adverteerders op Facebook de mogelijkheid hebben om e-mailadressen te gebruiken om aangepaste doelgroepen te targeten. Het team gebruikt de tool voor advertentietransparantie van Facebook, genaamd "Waarom zie ik dit?”Om adverteerders te observeren die het gedeelde honeytoken hebben gebruikt om advertentiecampagnes uit te voeren voor aangepaste doelgroepen op het sociale platform. De conclusie is dat honingtokens die zijn gedeeld met een app van derden zijn misbruikt voor het geval de adverteerder niet kan worden herkend als de app van derden.
De onderzoekers zeiden dat ze het hadden getest 1,024 Facebook-apps die ze hebben gevonden 16 apps die e-mailadressen delen met derden. Dit resulteerde in het ontvangen van e-mails van onbekende afzenders. Alleen 9 van de 16 apps onthulden dat ze waren geassocieerd met de afzender van de e-mail. Het lage aantal van dergelijke gedetecteerde apps is te wijten aan het kleine aantal 1,204 apps die in het onderzoek zijn gebruikt. Het team is van mening dat als er meer apps worden onderzocht, het aantal apps dat gebruikersinformatie misbruikt, zal veel groter zijn.
Facebook's verkeerde behandeling van gebruikersgegevens is geen nieuws
In april 2019, UpGuard Cyber Risk-onderzoekers ontdekten een half miljard records van miljoenen gebruikers van Facebook die openlijk beschikbaar waren voor het openbare internet. De platen werden gevonden op onbeschermde Amazon cloud servers. Blijkbaar, twee derden ontwikkelde Facebook app datasets werden de gebruikers gegevens bloot te stellen aan het publieke internet.
Alle datasets hadden iets gemeen – ze waren allemaal afkomstig van Facebook-gebruikers en gaven gevoelige informatie gedetailleerd weer, zoals belangen, relaties, en interacties. Deze gegevens waren beschikbaar voor third-party app-ontwikkelaars.
In mei 2020, Facebook kreeg opnieuw te maken met een boete wegens valse claims over gegevensprivacy. Volgens het Canadese Competition Bureau, Facebook heeft gebruikersinformatie verkeerd behandeld door het valse gevoel te creëren dat gebruikers kunnen bepalen wie hun persoonlijke informatie kan zien en openen via privacyfuncties. De boete wordt geschat op CAD 9 miljoen, wat gelijk is aan USD 6.5 miljoen, en EUR 5.9 miljoen.