CanaryTrap方法识别16个滥用数据的Facebook应用程序

社交媒体上的隐私应该是在线用户最关心的问题。然而，大多数人仍然没有意识到社交网络和应用程序开发者的不当行为，他们经常滥用自己的个人信息。

幸运的是，一组学者已经创造了一种方法，可以帮助识别与第三方共享用户数据的Facebook应用程序开发者。这种方法被称为“金丝雀陷阱”(CanaryTrap)。让我们看看它是怎么工作的。

第三方应用开发者滥用数据的例子比比皆是。一般来说，Facebook上的单点登录(SSO)应用程序通常需要访问用户的个人详细信息，如电子邮件地址、出生日期、性别和喜欢。

研究人员在他们的白皮书中指出，问题在于，能够获取大量用户个人详细信息的第三方应用程序很有可能被滥用。在线社交网络上第三方应用程序滥用数据的高调事件数量超过了应有的数量。我们不要忘了剑桥分析公司的丑闻。

缺乏系统地检测第三方应用程序滥用数据的方法。主要问题是，一旦数据被第三方应用程序检索，在线社交网络平台就会失去对这些数据的控制。这些第三方应用程序可以将检索到的数据存储在他们的服务器上，从那里可以进一步将数据传输到其他实体。无论是用户还是在线社交网络，都无法看到第三方应用服务器上存储的数据的使用情况。这使得检测数据滥用的问题极具挑战性，因为很难跟踪不在您控制范围内的东西。

CanaryTrap方法围绕称为蜜令牌的东西展开。蜜令牌被描述为虚构的单词或记录，添加到合法的数据库中。蜜令牌允许管理员在无法跟踪的情况下跟踪数据。该报解释说，蜜令牌可以是电子邮件地址或信用卡详细信息，可以被泄露或故意共享，以检测其未被识别或潜在的未经授权的使用。该检测借助不同的监控通道来完成：

例如，如果电子邮件地址被共享为蜜令牌，则接收到的电子邮件充当检测共享电子邮件地址的未识别使用的通道。我们设计并实现了CanaryTrap来调查在Facebook上与第三方应用程序共享的数据被滥用的情况。我们通过安装第三方应用程序将与Facebook帐户关联的电子邮件地址共享为蜜令牌，然后监控收到的电子邮件，以检测共享电子邮件地址的任何未识别使用。我们的结论是，如果接收到的电子邮件的发件人无法识别为第三方应用程序，则与第三方应用程序共享的蜜令牌可能已被滥用。

研究人员还利用了这样一个事实，即Facebook上的广告商有能力使用电子邮件地址来瞄准自定义受众。该团队使用的是Facebook的广告透明度工具，名为“我为什么会看到这个？”观察使用共享蜜令牌在社交平台上运行广告活动以定制受众的广告商。结论是，与第三方应用程序共享的蜜令牌被滥用，以防广告商无法被识别为第三方应用程序。

研究人员表示，他们测试了1024个Facebook应用程序，发现其中16个应用程序与第三方共享电子邮件地址。这导致用户收到来自未知发件人的电子邮件。在16款应用中，只有9款透露它们与电子邮件发件人有关联。检测到的此类应用程序数量较少，是因为研究中使用的1204个应用程序的样本较少。该团队认为，如果调查更多的应用程序，滥用用户信息的应用程序数量将会大得多。

2019年4月，UpGuard网络风险研究人员发现了5亿条Facebook数百万用户的记录，这些记录对公众互联网是公开的。这些记录是在没有保护的亚马逊云服务器上发现的。显然，两个第三方开发的Facebook应用程序数据集正在将用户的详细信息暴露在公共互联网上。

所有的数据集都有一些共同之处-它们都来自Facebook用户，并详细地呈现了敏感信息，如兴趣、关系和互动。这些详细信息可供第三方应用程序开发人员使用。

2020年5月，Facebook因虚假数据隐私声明而面临另一次处罚。根据加拿大竞争局的说法，Facebook对用户信息处理不当，制造了一种错误的感觉，认为用户可以通过隐私功能控制谁可以查看和访问他们的个人信息。罚金估计为900万加元，相当于650万美元，以及590万欧元。