单点登录中的个人身份信息泄露风险研究:基于Tranco Top 10K域名的实证分析
《IEEE Transactions on Privacy》:I Never Willingly Consented to This! Investigate PII Leakage via SSO Logins
【字体:
大
中
小
】
时间:2025年11月20日
来源:IEEE Transactions on Privacy
编辑推荐:
本研究针对单点登录(SSO)过程中个人身份信息(PII)泄露问题展开深入探讨。研究人员通过自动化爬虫框架SSOLogin对Tranco Top 10K域名进行大规模实测,发现Google和Facebook SSO登录分别导致30.1%和16.6%的第一方域名向第三方域名泄露PII。研究揭示了PII通过多种渠道(URI、Referer、Payload、Cookies)和编码方式(明文、BASE64、MD5等)的传输机制,并发现28.9%(Google)和41.9%(Facebook)的第三方接收者为广告追踪域名。该研究为GDPR/CCPA合规性评估提供了重要依据,对提升在线认证安全性具有显著意义。
在数字化时代,单点登录(SSO)以其便捷性成为互联网认证的主流方式,用户只需一套凭证即可畅游各大平台。然而这种便利背后隐藏着不容忽视的隐私风险——当您通过Google或Facebook账户登录第三方网站时,您的个人身份信息(PII)可能正在被悄无声息地分享给无数追踪域名。最新研究发现,这种"隐形数据交易"不仅普遍存在,更形成了复杂的生态链条,使得用户隐私在未经明确同意的情况下悄然流失。
发表于《IEEE Transactions on Privacy》的这项突破性研究首次对SSO认证流程中的PII泄露问题进行了系统化剖析。研究团队通过开发自动化框架SSOLogin,对Tranco Top 10K域名展开大规模实测,揭示了令人震惊的数据流动图景:30.1%的网站在Google SSO登录过程中向263个第三方域名泄露用户PII,而Facebook登录同样导致16.6%的网站向100个第三方域名传输敏感信息。更值得关注的是,60个第三方域名同时从两种SSO登录中接收PII,形成了跨平台的数据聚合网络。
研究方法方面,团队采用多维度技术路线:首先基于Selenium构建SSOLogin自动化认证框架,实现对9712个可用域名中1444个支持Google登录和1180个支持Facebook登录网站的全面覆盖;其次建立PII识别体系,针对用户名、邮箱和SSO ID等核心标识,通过预计算明文、BASE64、MD5、SHA1、SHA256等多种编码格式构建检测库;最后采用请求溯源技术,通过分析初始化对象(initiator_Url, initiator_type)揭示直接泄露与中介转发的复杂路径。
研究发现PII泄露在SSO环境中极为普遍。Google登录场景中293个第一方域名通过1483个请求向263个第三方域名传输PII,Facebook登录中100个第一方域名通过292个请求向100个第三方域名泄露数据。特别值得注意的是,rlcdn.com作为LiveRamp的身份服务标签,成为最大的PII接收方,分别从19个(Google)和9个(Facebook)第一方域名收集用户信息。
传输机制分析显示,Cookies(Google 54.9%,Facebook 58.0%)和URI(Google 44.7%,Facebook 36.0%)是最主要泄露渠道。令人担忧的是,80.5%(Google)和77.0%(Facebook)的传输以明文形式进行,而哈希处理虽被采用(SHA256分别占17.4%和22.0%),但由于数据泄露事件频发,其安全性形同虚设。邮箱地址(58.7%/48.0%)、用户ID(56.0%/57.0%)和用户名(38.9%/7.0%)成为最常泄露的PII类型。
溯源分析揭示了更复杂的泄露路径:39.9%(Google)和50.0%(Facebook)的泄露通过中介域名实现。如图5所示,nypost.com等第一方域名通过多个中介(如cloudfront.net)将PII转发至13个第三方域名,形成错综复杂的数据流转网络。
研究发现SSO身份提供商自身生态系统存在显著的数据共享行为。六个Google相关域名从85个第一方域名接收PII,其中googletagmanager.com作为中介将数据转发至五个第三方域名。更值得关注的是,即使用户通过Google登录,仍有29个网站将PII传输至Facebook的facebook.com域名,揭示了跨生态系统的数据交融。
通过EasyList和EasyPrivacy拦截列表检测,57.7%的Google登录第三方请求和96.1%的Facebook登录请求被识别为广告/追踪相关。这些请求分别对应78个(28.9%)和44个(41.9%)追踪域名,表明SSO流程已成为行为广告的重要数据来源。
C. PII泄露通过SSO登录是否符合GDPR和CCPA?
地域合规性实验显示,在GDPR适用的德国和CCPA适用的加利福尼亚,PII泄露依然普遍存在:69.4%(德国)和75.9%(加利福尼亚)的网站在Google登录中向第三方追踪域名泄露数据。研究指出,SSO同意屏幕的模糊表述(如图6所示)违反了透明度原则,而数据被用于行为广告则违背目的限制原则,构成严重的合规风险。
本研究首次系统揭示了SSO认证流程中PII泄露的规模、机制和合规风险。研究发现不仅证实了第三方追踪公司通过SSO登录大规模获取用户标识信息,还揭示了身份提供商生态系统内部及之间的复杂数据流。更重要的是,研究证明了现有同意机制无法满足GDPR/CCPA的透明度和目的限制要求。技术层面,研究建议通过增强型拦截列表(如EasyList、EasyPrivacy)和脚本监控可有效减缓泄露风险。这些发现为政策制定者、网站运营者和浏览器开发者提供了重要依据,推动建立更透明、安全的在线认证生态系统。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
