Facebook może osłabiać zaufanie do logowania dwuskładnikowego (2FA) agresywnym zbieraniem danych

[Grandalf]

Numer telefonu podany Facebookowi w celu zabezpieczenia konta niestety może być także użyty do targetowania reklam, wyszukiwania profilu i łączenia informacji w ramach różnych usług. Jest to podwójnie nieodpowiedzialne ze strony czołowego serwisu społecznościowego. Nie tylko zarządzanie prywatnością jest nieprzejrzyste, ale dodatkowo ludzie tracą zaufanie do funkcji, która powinna być stosowana przez wszystkich.

Zacznijmy od tego, że jeśli korzystasz z Facebooka to powinieneś/powinnaś mieć włączone logowanie dwuskładnikowe (tzw. 2FA). Dzięki temu do zalogowania potrzebne będzie coś więcej niż login i hasło, a przecież przejęcie konta na Facebooku może być bardzo bolesne (np.

Zaloguj lub Zarejestruj się aby zobaczyć!

poważnie Cię skompromitować, uzyskać dostęp do innych twoich usług itd.).

Facebook ma różne opcje 2FA – kody SMS, klucze U2F, aplikacje. Naturalnie większość ludzi wybierze kody SMS, co wymaga podania Facebookowi swojego numeru telefonu. Wydaje się, że numer podany w celu zabezpieczenia konta nie jest używany do innych celów. Błąd! Facebook szerzej korzysta z tego numeru i… odkryto to już dawno temu.

Ale skąd to wiadomo?
Problem został opisany jeszcze w ubiegłym roku, najpierw w artykule pt.

Zaloguj lub Zarejestruj się aby zobaczyć!

, którego autorami są Giridhari Venkatadri, Elena Lucherini, Piotr Sapiezynski oraz Alan Mislove (link prowadzi do tekstu na stronie tego ostatniego). Autorzy badania chcieli sprawdzić skąd dokładnie Facebook pobiera informacje identyfikujące poszczególne osoby. Polecamy cały artykuł bo jest arcyciekawy

Badacze ustalili m.in., że jeśli użytkownik przekaże Facebookowi numer telefonu w celu włączenia 2FA to numer zacznie być znany reklamodawcom w ciągu kilku tygodni. Aby to potwierdzić badacze brali “świeży” numer i dodawali go jako numer dla SMS-ów weryfikacyjnych. Później sprawdzali, czy numer ten jest targetowany przy reklamach i nawet uruchamiali kontrolne reklamy, które miały potwierdzić targetowanie. Serwis

Zaloguj lub Zarejestruj się aby zobaczyć!

, który opisał ustalenia badaczy, postanowił spytać Facebooka o sprawę. Rzecznik firmy odpowiedział, że serwis używa informacji dostarczanych przez ludzi by zaoferować bardziej spersonalizowane funkcje, w tym reklamy (czytaj: “tak, robimy to, ale nie chcemy tego nazywać po imieniu”).

Trzeba tu dodać, że w maju 2018 roku Facebook

Zaloguj lub Zarejestruj się aby zobaczyć!

w celu włącznia 2FA. Nie zmienia to faktu, że:

• wielu ludzi włączających tę funkcję wcześniej po prostu dodało swoje numery oraz…
• nadal wiele osób może być nieświadomych, że numer podany przy włączaniu 2FA będzie używany do innych celów.

Facebook nie od dziś wydaje się nie całkiem szczery i przewidywalny w zakresie ustawień prywatności. Należy jednak pamiętać, że na Facebooku to my jesteśmy produktami, a produktom nie trzeba się tłumaczyć.

Temat odkopany
Teraz mamy potwierdzenie, że nadal wiele osób nie ma świadomości w zakresie przetwarzania numerów telefonu przez Facebooka. Jeremy Burge, twórca Emojipedii, wywołał małą burzę tym tweetem.

To rozwścieczyło wielu ludzi. I jak zwykle w takich sytuacjach, użytkownicy zaczęli sobie zadawać dodatkowe pytania. Czy mogę usunąć raz podany numer telefonu? Jakie są ustawienia prywatności związane z telefonem?

Jeśli zajrzycie do swoich ustawień prywatności (Ustawienia > Prywatność) to prawdopodobnie zobaczycie, że na podstawie numeru telefonu mogą was wyszukać wszyscy. To jest domyślne ustawienie. Możecie je przestawić na Znajomi Znajomych lub Znajomi, ale nie ma opcji całkowitego zablokowania wyszukiwania po numerze. Warto też wiedzieć, że samo usuniecie telefonu z opcji 2FA nie spowoduje odpięcia numeru od konta. Jeśli chcecie zdecydowanie usunąć numer telefonu, musicie wybrać Ustawienia >Telefon i dopiero tam usunąć numer (po dodatkowym podaniu hasła).

Jeremy Burge zwrócił uwagę na inne ciekawostki. Po tym, jak dodał on swój numer telefonu do Facebooka (tylko w celu uruchomienia 2FA), na jego koncie na Instagramie pojawiła się taka oto zachęta.

Oczywiście Facebook i Instagram są powiązane, ale teoretycznie miały pozostać odrębnymi usługami. W tej sytuacji Instagram mógłby choć trochę udawać, że jeszcze nie zna numeru telefonu Jeremy’ego .

2FA nie jest złe
Najgorsze w całej sytuacji jest to, że może dojść do wzbudzania strachu wobec logowania dwuskładnikowego, którego nawet teraz używa mały odsetek użytkowników. Tymczasem logowanie dwuskładnikowe niewątpliwie jest dobrym, dodatkowym zabezpieczeniem przed intruzami chociaż – warto pamiętać – nie zawsze jest całkowicie odporne na phishing. Zwykle konsekwentnie doradzamy, aby

Zaloguj lub Zarejestruj się aby zobaczyć!

zorganizować sobie

Zaloguj lub Zarejestruj się aby zobaczyć!

i dla pewności przejść

Zaloguj lub Zarejestruj się aby zobaczyć!

. Facebookowi oczywiście należy się bura za to, że wykorzystuje informacje udzielane w celu zabezpieczenia konta do targetowania reklam i wiązania kont użytkowników w różnych usługach.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

To mi się podoba

Należy jednak pamiętać, że na Facebooku to my jesteśmy produktami, a produktom nie trzeba się tłumaczyć.