Wallapop y datos Facebook

babri

La verdad es que lo acabo de ver y no si es de ahora y ya se sabía incluso no se hasta que punto es "legal".

Cuando navegas por la web de wallapop aparentemente lo único que te pide es acceso a tu geolocalización la cual puedes denegar.

Pero lo realmente escabroso es que si miras su log de scripts se han dejado una traza con todos los datos de tu perfil de facebook, incluso sacan tu cumpleaños y tu email. En ningún momento ellos piden acceso a estos datos incluso en sus páginas de aviso legal y cookies pone nada de accedan.

Y esto solo lo hacen cuando estás logeado a facebook claro.

Aquí dejo ejemplo:

¿Es legal? Discuss

1
RaymaN

Para acceder a tu email has tenido que darles permiso al iniciar sesión con Facebook.

2 respuestas
1 comentario moderado
babri

#2 no le he dado a nada los pilla sin más

#3 eres todo un hacker mis respetos

Psicotropica

#2 No das permiso de acceder a nada en el momento en el que entras a la web de wallapop con el PC, solo te piden el acceso a tu geolocalización

B

#1 No es posible usar la api de fb sin autorización. O le has dado permiso en alguna parte de la web acceso a fb o esos datos son públicos de fb o no son datos pertenecientes a facebook.

1 respuesta
RaymaN

No había usado nunca wallapop. Me he bajado la app y al hacer login puedes editar la información que proporcionas. He desmarcado email, cumpleaños y lista de amigos y no aparece en la web. Para compartir la información entre app y web supongo que lo harán por ip, aunque no debería ser así y es denunciable.

1 respuesta
babri

#6 eso es lo que me intriga :(

#7 sin hacer login enl a web te sale?

1 respuesta
RaymaN

#8 sin haber hecho login en la app no salían mis datos en la web.

Edit: vale, lo que hacen es leer tu cookie de FB. No sé si esta práctica es legal aunque si no les das permiso no pueden hacer nada.

2 respuestas
babri

#9 pues no me hace mucha gracia :S

zErOx

¿Como va a ser legal si no les das permiso?
xD

1
R

Una pregunta, así sin maldad.
¿Te molesta que Wallapop acceda a la fecha de tu cumpleaños, y no te molesta que uno de los diez foros más grandes de España acceda a tu Facebook?

Quiero decir, ¿no es algo incoherente?

7 2 respuestas
babri

#12 a priori me es indiferente incluso me hubiese dado igual no tapar los que he tapado de la imagen, de hecho todos los que tenemos facebook tenemos todo al descubierto y es muy facil obtener dichos datos si sabes como hacerlo.

Pero lo gracioso es que te pillan los datos y encima se lo dejan visible así para hacer la gracia xD

Kiroushi

#9 Una web no puede leer una cookie de otro dominio.

1 2 respuestas
allmy

#12 Le gusta poder elegir, y que la elección se respete. Y son dos cosas independiente.s.

itonny

#1 Estas seguro de que no has autorizado nada a la aplicación para que enlace el facebook?

#3 Me dice que es el hijo de chicote y me lo creo xDDDD

RaymaN

#14 no he dicho que lo haga directamente. En concreto, parece que usan un pixel de conversión.

1 respuesta
quickkk

ten cuidado que el fbi te busca

Kiroushi

#17 Es la primera vez que oigo eso. Me parece increíble que los navegadores por defecto no bloqueen ese tipo de prácticas :O

1 respuesta
cabron

#19

Es que no tiene sentido que el navegador bloquee eso, por que no es ningún fallo de seguridad. Cuando tú te creas una cuenta en Facebook estás autorizando esto al aceptar su EULA de un millón de páginas.

1 respuesta
Kiroushi

#20 Estoy hablando de los tracking pixels en cross-dominios.

1 respuesta
cabron

#21

¿y el navegador que sabe si es un tracking pixel? simplemente has hecho una petición a un recurso de otro dominio, algo que en principio no es nada raro.

1 respuesta
Kiroushi

#22 No mezcles la velocidad con el tocino. Me estás hablando de que he aceptado el EULA de Facebook para bla ble bli. Pero no he aceptado en ningún momento que otra página pueda incrustar elementos en la suya y acceder a cookies de la primera mediante esta técnica.

Al igual que el CORS está desactivado por defecto en gran parte de las configuraciones, esto debería ser así también para los navegadores y los tracking pixels.

De hecho, si hay extensiones de Chrome y Firefox que permiten hacerlo, no sé por qué no es una funcionalidad por defecto.

1 respuesta
cabron

#23

A ver, es que ese pixel lo crea facebook explícitamente para Wallop (o la emrpesa que sea), Wallop no lo puede hacer por su cuenta, tiene que ir a facebook y hacer una petición para que ese pixel se cree explícitamente para ellos:

https://es-la.facebook.com/help/553858824641387

Y tú has aceptado en el EULA de Facebook ese tipo de prácticas donde ellos comparten tu información con anunciantes y más mierdas.

De todas formas si no recuerdo mal todos los navegadores tienen la opción de deshabilitar cookies para elementos incluidos en la página de otro dominio, pero lo tiene que activar el usuario.

2 respuestas
Kiroushi

#24 Pues nada, entonces por lo que se ve habrá que navegar usando 15 extensiones.

1 respuesta
cabron

#25

Es que esas extensiones funcionan con listados, cuando se hace una petición miran la lista y dicen 'esto es tracking, esto también es tracking y esto otro también', pero el navegador no tiene ni idea, no hay ninguna diferencia entre incluir una imagen de imgur o de un píxel invisible de facebook, por eso el navegador no lo bloquea por defecto.

babri

los de wallapop me dicen que es porque hice login con facebook y no se hace login de ningún tipo.

Hobbes

#14 En realidad no es que no puedan, es que no deberían, pero Cabron tiene razón.

babri

#24 una duda, no se supone que el pixel es para ver el ROI del anuncio? No debería de darte el user id del usuario y si te lo da imagino que aparecerá en tu panel de facebook no en sesión de aplicación no?

1 respuesta
cabron

#29

La verdad que no tengo no idea que datos envía con la petición del píxel, no he mirado directamente que hace, yo lo he seguido comentado a partir de otro post donde habían dicho que estaban usando este método.

1 respuesta