Команда вчених з Університету Айови представила метод, що дозволяє визначити, коли розробники додатків для Facebook таємно обмінюються даними користувачів з третіми сторонами. В основі методу, який отримав назву CanaryTrap, знаходиться концепція так званих ханітокенів (honeytoken).
Ханітокени – це підроблені дані, токени або файли, які IT-фахівці впроваджують в свої мережі. Коли до даних звертаються або їх використовують, адміністратори можуть зафіксувати шкідливу діяльність.
В контексті CanaryTrap ханітокени були унікальними адресами електронної пошти, які вчені використовували для реєстрації облікових записів Facebook. В рамках дослідження фахівці після реєстрації облікового запису встановлювали додаток для Facebook, використовували його протягом 15 хвилин, а потім видаляли додаток зі свого облікового запису. Потім дослідники відстежували вхідні електронні листи в пошуках трафіку. Якщо в папку «Вхідні» надходили нові електронні листи, було ясно, що додаток ділиться даними користувача з третьою стороною.
Крім того, дослідницька група також використала інструмент прозорості реклами Facebook «Чому я це бачу?», Щоб з’ясувати, чи використовував рекламодавець якусь електронну пошту, створену за допомогою ханітокена, для орієнтування реклами в Facebook.
Експерти протестували тисячу двадцять чотири додатки для Facebook за допомогою CanaryToken і визначили 16 програм, які відправляли адреси електронної пошти третім сторонам. З 16 додатків тільки у 9 були будь-які ділові або партнерські відносини з відправником електронних листів.
Сім інших додатків не вказували, що вони діляться даними. Дослідникам не вдалося з’ясувати, чи надали розробники додатків призначені для користувача дані третім сторонам навмисно, або ж відбувався витік даних в online-режимі у результаті порушень безпеки або дій кіберзлочинців.
Дослідницька група також провела додаткове дослідження щодо 1024 додатків з наступними висновками:
-61 додаток для Facebook не містить посилань на їхню політику конфіденційності;
-42 додатки для Facebook не відповідають на запити на видалення даних;
-13 додатків для Facebook продовжують відправляти електронні листи після підтвердження видалення даних.