Facebook признает, что использует номера мобильных не только для двухфакторной аутентификации.

Facebook признает, что использует номера мобильных не только для двухфакторной аутентификации.

Еще один прокол конфиденциальности Facebook.

На этот раз гигант Силиконовой долины был пойман с поличным, используя номера мобильных телефонов людей, предназначенные исключительно для двухфакторной аутентификации, для целевой рекламы и поиска — после того, как компания заявила, что этого не сделает.

Люди, передающие свои мобильные номера для защиты своих учетных записей от захвата и угона, думали, что контактная информация будет использоваться только для обеспечения безопасности. Вместо этого Facebook использует номера, чтобы связать пользователей сети с другими людьми и нацелить их на онлайн-рекламу.

Например, если кто-то из ваших знакомых, назовем ее Анной, предоставил свой номер Facebook для целей двухфакторной аутентификации, и вы позволите приложению Facebook получить доступ к книге контактов вашего смартфона, и оно увидит там номер Анны, оно предложит чтобы связать вас двоих, хотя Анна думала, что ее номер используется только для безопасности, а не для поиска. Это не совсем здорово, например, если вы с Анной больше не являетесь или никогда не были друзьями в реальной жизни, и, тем не менее, Facebook все равно хочет вас связать.

После протестов в Интернете на выходных представитель компании Facebook сказал нам сегодня: «Мы ценим отзывы, которые мы получили об этих настройках, и будем их учитывать».

Однако задержите дыхание.

«Заявленное»

Возмущение по поводу использования телефонных номеров Facebook было спровоцировано в пятницу основателем Emojipedia Джереми Берджем, который публично раскритиковал операцию по сбору информации Марка Цукерберга по обеспечению поиска пользователей по телефонным номерам, представленным для якобы имевшей место цели безопасности аккаунта.

«В течение многих лет Facebook утверждал, что добавление номера телефона для 2FA было создано только для безопасности», — сказал он через Twitter. «А теперь пользователя можно искать по номеру телефона, и на сегодня нет способа это отключить».

Facebook частично отключал подобные поиски по телефонным номерам в прошлом, не позволяя людям находить чей-либо профиль непосредственно по своему номеру: в апреле 2018 года рекламный бизнес заявил, что отключил поиск по телефонному номеру после скандала с Cambridge Analytica, ссылаясь на злоупотребления. «До сегодняшнего дня люди могли вводить номер телефона или адрес электронной почты другого человека в поиск в Facebook, чтобы их найти», — сказал технический директор Майк Шропфер в своем блоге. «Поэтому мы отключили эту функцию».

Остаётся только то, что Facebook будет использовать предоставленные номера телефонов, чтобы предлагать подключения друзей для этих контактных данных, даже если этот друг предоставил номер телефона только для безопасности учетной записи 2FA.

«Контроль» в этом случае не означает полностью ограничить использование номера телефона; это означает меню, которое делает номер доступным «Всем», «Друзьям друзей» или просто «Друзьям» во время поиска загрузки контактов. Пользователи имеют возможность удалить свой номер телефона из своей учетной записи, хотя это исключает использование его для восстановления учетной записи. С мая прошлого года Facebook начал предоставлять поддержку 2FA без номера телефона через приложения для аутентификации. Таким образом, вы можете выполнять многофакторную аутентификацию с помощью Facebook: удалить телефонную 2FA и повторно активировать ее с помощью приложения для аутентификации или с помощью аппаратного ключа Yubico.

В любом случае, однако, все еще возможно злоупотребить функцией поиска друзей в Facebook, загружая большое количество контактов через мобильный телефон в надежде, что Facebook вернет полезный ответ для некоторых из них. Кроме того, работает поиск по номеру телефона в WhatsApp.

В прошлом году Facebook изменил свое предложение о предоставлении номера телефона со ссылкой, объясняющей, что этот номер будет использоваться для других целей . Как объясняет Facebook на странице поддержки , он использует номера телефонов для обеспечения безопасности аккаунта, чтобы помочь друзьям найти вас и для восстановления аккаунта.

Однако дьявол кроется в деталях

На странице справки не упоминается тот факт, что Facebook использует номера телефонов для рекламы. Исследователи из Принстонского университета и Северо-восточного университета в США в прошлом году исследовали, как Facebook использует личную информацию, предоставленную пользователями.

Они обнаружили, что «телефонные номера и адреса электронной почты, добавленные в качестве атрибутов профиля, предоставленые в целях безопасности, такие как двухфакторная аутентификация, предоставлены приложению Facebook Messenger для обмена сообщениями и включены в загруженные базы данных контактов друзей, что позволяет использовать данные Facebook, чтобы позволить рекламодателям настраивать таргетинг на пользователей. «

По словам Алекса Стамоса, бывшего начальника службы безопасности Facebook, антисоциальная сеть в какой-то момент планировала отделить телефонные номера, предусмотренные для 2FA, от телефонных номеров, предназначенных для других целей, но теперь это, похоже, уже не так.

«Сейчас это не ошибка, это явно преднамеренный выбор продукта», — сказал он через Twitter, добавив, что Facebook нужен кто-то в цепочке дизайна продукта, защищающий безопасность. «[Facebook] не может достоверно требовать 2FA для учетных записей с высоким риском, не сегментируя это по поиску и рекламе», — сказал он.

Представитель Facebook не ответил на это.

Все это происходит по мере того, как Facebook продвигает план консолидации своих пользовательских данных через Facebook, Instagram и WhatsApp, пытаясь ослабить воздействие европейского режима конфиденциальности GDPR. Это цель, которую, по сообщениям, недавно раскрыл тайник документов . ®

Оригинал

Alt text

Владимир Безмалый

О безопасности и не только