นักวิจัยจาก Princeton's Center for Information Technology Policy รายงานการค้นพบ JavaScript ของ 3rd Party ที่ฝังอยู่บนหน้าเว็บไซต์ที่มีปลั๊กอิน Login with Facebook สามารถดึงข้อมูลผู้ใช้และ User ID มาจากเฟซบุ๊ก เสมือนเป็นหน้าเว็บไซต์ (1st Party) นั้น เมื่อผู้ใช้กดล็อกอินผ่านเฟซบุ๊ก

กล่าวอีกอย่างคือเมื่อผู้ใช้ล็อกอินและมอบข้อมูลให้กับเว็บไซต์หนึ่งๆ (1st Party) JavaScript ของ 3rd Party ที่ฝังอยู่ในหน้าเว็บนั้นจะได้รับข้อมูลชุดเดียวกันไปด้วย ซึ่งนักวิจัยระบุว่าเจอสคริปต์ฝังอยู่ในเว็บไซต์ 434 เว็บจากเว็บชั้นนำกว่า 1 ล้านเว็บ โดยนักวิจัยระบุว่าปัญหานี้ไม่ใช่บั๊คในกระบวนการล็อคอินผ่าน API ของเฟซบุ๊ก แต่เป็นปัญหาเรื่องความปลอดภัยและการเขียนสคริปต์บนเว็บ

ด้านเฟซบุ๊กหลักทราบเรื่อง ก็ระงับการเชื่อมต่อระหว่าง User ID กับแอปต่างๆ ไม่ให้ดึงโปรไฟล์และข้อมูลการไลค์เพจบนเฟซบุ๊ก รวมถึงระบุว่าจำกัดการเรียกขอข้อมูลโปรไฟล์จากแอปนอก

ที่มา - Freedom to Tinker via TechCrunch, Facebook for Developer