Facebook* prozradí vaše telefonní číslo inzerentům, i když jste je neuvedli ve svém profilu

Facebook konečně přestane cílit reklamy podle telefonních čísel, která lidé zadávají do 2FA

Minulý rok odborníci na informační bezpečnost a novináři zjistili, že Facebook používá telefonní číslo, které uživatel zadá pro dvoufaktorovou autentizaci (2FA) k cílení reklamy. Jde o další „klamavou praktiku“, při které byla největší sociální síť přistižena.

Jak to funguje. Za prvé, Facebook vyžadoval, abyste zadali telefonní číslo pro jakýkoli typ 2FA, i když to bylo provedeno prostřednictvím softwarového autentizátoru spíše než SMS (i když to dělají i jiné společnosti). Za druhé, asi po měsíci tomuto uživateli začala chodit cílená reklama od inzerentů, kteří znali jeho telefonní číslo. Navíc kdokoli mohl najít osobu zadáním jejího telefonního čísla do vyhledávání. Ukázalo se, že Facebook spojuje telefonní číslo s profilem, i když toto číslo není uvedeno v profilu, ale je uvedeno pouze pro 2FA nebo v seznamu kontaktů jiného uživatele.

Facebook neuposlechl četné výzvy k zastavení této praxe a na funkčnosti stránek nic neměnil. Případ se nakonec dostal před Federální obchodní komisi (FTC). Teprve potom Facebook něco udělal.

V červenci Facebook dosáhl dohody s FTC, ve které slíbil, že zastaví některé klamavé praktiky, které porušují práva uživatelů. To zahrnuje přísliby, že nebudete používat pro cílenou reklamu telefonní čísla zadaná pro jakékoli bezpečnostní účely, včetně 2FA, obnovení hesla nebo přijímání zpráv o neoprávněných pokusech o přihlášení k vašemu účtu.

Kromě prodeje kontaktních informací uživatelů inzerentům (v rozporu s jejich přáními a očekáváními od služby) působí akce Facebooku i další škody. Tím podkopává důvěru uživatelů v samotné dvoufaktorové ověřování. Nyní se však stal povinným minimálním požadavkem pro jakýkoli bezpečnostní systém. Podkopáním důvěry ve dvoufaktorovou autentizaci Facebook poškozuje další společnosti, které implementovaly 2FA správně.

Zdálo by se, že FTC dosáhla svého a nyní může být důvěra v 2FA obnovena. Ale není to tak jednoduché.

Electronic Frontier Fund upozorňuje na konkrétní jazyk v textu dohody mezi Facebookem a FTC. Ona se zmiňuje pouze zákaz používání čísel pro cílenou reklamu a nic víc.

Jinými slovy, Facebook může nadále používat stínové profily pro jiné účely. A historie ukazuje, že pokud bude mít Facebook takovou možnost a žádný přímý zákaz nebude, bude společnost určitě nadále zneužívat.

Jaké příležitosti zbývá Facebooku ke zneužití? Jsou zde minimálně dva body.

Dohoda nemá vliv vyhledávání podle stínových profilů. Pokud neuvedete své číslo ve svém profilu, ale uvedete jej pro 2FA, pak vás kdokoli může najít podle tohoto telefonního čísla prostřednictvím funkce základního vyhledávání na webu.