Да, это действительно утечка данных, и Facebook особенно злоупотребляет ею. Я проверил это: я подписался на веб-сайт, посвященный чему-то совершенно не относящемуся к моим обычным интересам, используя «Зарегистрироваться через Facebook», а затем не просматривал сайт (т. Е. Логин был единственной информацией, которую они имели). В течение дня я начал получать рекламу в своей ленте Facebook на эту тему.
Невозможно быть уверенным, что трехсторонний OAuth (то есть «социальные логины») не пропускает данные. Политики дают некоторую гарантию, но популярные провайдеры имеют столь длительную историю злоупотреблений, что им нельзя доверять, что бы они ни говорили. Существует только одно решение: не используйте его . Дошло до того, что я активно избегаю сайтов, которые даже предлагают его, потому что это означает, что сам сайт недостаточно понимает конфиденциальность, чтобы понять, что они делают. В ревизиях GDPR я отмечаю это как потенциальное нарушение конфиденциальности.
Также не помогает, что с OAuth очень неприятно работать и как разработчиком, и невероятно легко ошибиться. Id & pass с 2FA - мой предпочтительный метод аутентификации.