Facebook xác nhận đến TechCrunch rằng đó là một báo cáo chi tiết nghiên cứu về bảo mật, cái mà cho thấy rằng dữ liệu của người dùng Facebook có thể bị đánh cắp bởi nhóm thứ ba (third-party) là những bộ theo dõi của Javascript ( JavaScripts trackers) được gắn trên những trang web dùng để truy cập vào Facebook. Việc khai thác này dẫn đến những thiết bị theo dõi này tập hợp được dữ liệu của người dùng bao gồm tên, địa chỉ email, độ tuổi, giới tính, địa điểm truy cập, và tiểu sử hình ảnh dựa trên cái mà trước đó người dùng đã cung cấp đến các trang web. Không rõ những hệ thống theo dõi sẽ làm gì với dữ liệu nhưng rất nhiều công ty mẹ như Tealium, AudienceStream, Lytics, and PrePS bán những dịch vụ lưu hành xuất bản bằng tiền tệ ( publisher monetization) dựa trên việc thu thập dữ liệu người dùng.

Sự lạm dụng những thông tin gốc (scripts) này được tìm thấy ở 434 trên tổng số một triệu trang web bao gồm trang web của người làm nghề tự do như Fiverr.com và nhà cung cấp điện toán đám mây MongoDB. Đó là cái theo Steven Englehardt và những đồng nghiệp của anh ấy tại Freedom To Tinker, là cái mà được ghi nhận (hosted) bởi Trung tâm Priceton về chính sách công nghệ thông tin.

Trong lúc đó, trang hòa nhạc (concert site)  BandslnTown được tìm thấy để được thông qua bước đăng nhập bằng dữ liệu người dùng Facebook để gắn vào những thông tin nguyên bản (scripts) trên vị trí mà cài đặt sản phẩm quảng cáo Amplified ( install its Amplified advertising product) của chính nó. Một khung nội tuyến (iframe) vô hình BandslnTown sẽ tải những trang đó, lôi kéo ( pulling in) dữ liệu người dùng cái mà sau đó đã sử dụng được để ghi vào những thông tin gốc ( scripts). Điều này dẫn đến bất kì bất cứ nơi nào cố tình làm hại BandslnTown nghiên cứu được nhận dạng của đối tượng truy cập. BandslnTown bây giờ đang kiểm soát tình trạng nguy hiểm này .

TechCrunch vẫn đang tiếp tục chờ đợi một lời phát biểu chính thức của Facebook từ một nơi xa xôi nào đó (beyond) “ Chúng tôi sẽ xem xét(look into) điều này và phản hồi( get back)  lại bạn ”. Sau khi TechCrunch đưa vấn đề này đến sự chú ý của MongoDB’s vào sáng nay, nó đã được xem xét kĩ càng và chỉ nhận được lời giải trình “ Chúng tôi không biết về nhóm công nghệ thứ ba đã sử dụng một đường dây theo dõi chữ viết ( a tracking scripts) cái mà thu nhập những phần của dữ liệu người dùng Facebook. Chúng ta nhận dạng được điểm phát sinh ra thông tin (script) và xóa sổ nó.

BandslnTown nói với tôi rằng “ Bandsintown không vạch trần những dữ liệu trái phép đến nhóm thứ ba và nhờ vào việc nhận được thư điện tử từ những nhà nghiên cứu trình bày về những mối nguy hiểm tiềm tàng từ những thông tin gốc chạy trên nền tảng quảng cáo của chúng tôi. Chúng tôi đã nhanh chóng đưa ra những hành động thích đáng để giải quyết vấn đề này một cách triệt để”. Fiverr đã không phản hồi gì trước sức ép này ( press time)

[ Cập nhật : Những công ty khác được liệt kê bởi những nhà nghiên cứu đã được xác nhận họ không phải là chủ mưu của bất kì một cuộc khai thác hệ thống theo dõi nào, vì vậy họ được loại ra khỏi bài tranh luận(aricle) này]

Việc phát hiện ra những lỗ hổng trong việc bảo vệ dữ liệu xảy đến ngay tại thời điểm nhạy cảm ( vulnerable) đối với Facebook. Công ty đang cố gắng để sửa đổi sai lầm từ vụ bê bối Cambridge Analytica, CEO Mark Zuckberberg mới chỉ chứng tỏ điều đó trước cuộc họp chính thức trước các đại biểu ( congress) và hôm nay nó đã được trình bày công khai những thông tin nội bộ mới nhất chiếu theo luật Europ’s GDPR . Nhưng phía bên Facebooks, API gần đây thay đổi thiết kế để bảo vệ dữ liệu người dùng ( But Facebook’s recent API changes designed to safeguard user data) đã không ngăn chặn được những cuộc khai thác thông tin. Và chân tướng của sự việc này càng được sáng tỏ theo một cách khá dễ hiểu là người dùng Facebook bị theo dõi trên mạng Internet chứ không chỉ trên chính trang đó.

Englehard viết “Khi một người dùng cho phép một trang web truy cập vào hồ sơ cá nhân trên mạng xã hội của họ, họ không chỉ đang tin tưởng trang web đó mà còn cả bên thứ ba (third parties ) đã được gắn vào trang web đó”. Biểu đồ cho thấy cái mà những thiết bị theo dõi (trackers) đang lấy (are pulling) từ người dùng. Freedom To Tinker cảnh báo OnAudience về những vấn đề bảo mật  gần đây, dẫn đến việc dừng thu thập dữ liệu người dùng.

Facebook có lẽ nên nhận dạng những thiết bị theo dõi và ngăn chặn những hành động khai thác với thẩm quyền kiểm tra sổ sách API ( with sufficient API auditing). Việc kiểm tra sổ sách API bị tụt dốc gần đây cũng như nó hunts down những sự phát triển cái mà có vẻ như không thích hợp về đóng góp (shared), nhượng lại (sold) hay dữ liệu đã được sử dụng ( used data) như làm thế nào dữ liệu người dùng của ứng dụng Dr.Aleksandr Kogan rơi vào tay ( ended up in the hands) của Cambridge Analytica. Facebook cũng nên thay đổi hệ thống của nó để ngăn chặn sự phát triển từ những ứng dụng chuyên biệt lấy từ ID người dùng và tận dụng nó để khám phá ra cái mà bao quát cố định mật khẩu của người dùng Facebook ( to discover that person’s permanent overarching Facebook user ID).

Sự phát hiện giống vậy được chờ đợi để ra hiệu cho một lỗ hổng dữ liệu lớn hơn. Qua nhiều năm, dư luận đã trở nên thỏa mãn (complacent) về cách mà dữ liệu cuả họ bị khai thác mà không có sự cho phép trên các trang mạng. Trong khi đó là Facebook trong một vị trí then chốt ( it’s Facebook in the hot seat), các công nghệ phi thường khác như Google dựa trên dữ liệu người dùng và hoạt đông trên nền tảng phát triển hơn cái mà có thể kiểm soát chặt chẽ ( that can be tough to police).

Và những nhà xuất bản mới (new publishers), liều lĩnh để kiếm thêm từ quảng cáo để tồn tại , thường thất bại trong những mạng lưới quảng cáo sơ sài và hệ thống theo dõi (trackers).

Zuckerberg đặt mục tiêu quá dễ dàng bởi vì người sáng lập Facebooks vẫn đang là CEO, anh ta cho phép những nhà phê bình và những người điều chỉnh khiển trách anh về sự tụt dốc của mạng xã hội. Nhưng bất cứ công ty nào muốn đánh nhanh rút gọn (playing fast and loose) với dữ liệu người dùng thì nên cẩn trọng ( sweating).