Некоторое время назад появились сообщения о том, что Facebook изначально делает номера мобильных телефонов предоставленных для «двухфакторной аутентификации» (2FA), доступными для поиска и целевой рекламы.
Один из многочисленных способов показа целевой рекламы пользователям в Facebook — это использование так называемых «аудиторий пользователей». Это списки контактных данных, включающие номера телефонов и адреса электронной почты, загруженные рекламодателями. Далее Facebook сопоставляет такую «аудиторию пользователей» с имеющимися у него сведениями для предложения целевой рекламы аккаунтам, связанным с этой информацией.
В конце концов дело дошло до размытия границ между контактной информацией, предоставленной в целях безопасности, и контактной информацией, предоставленной для других целей. В начале 2018 года в статье под названием «Расследование источников данных, используемых в таргетированной рекламе в Facebook», исследователи Гиридхари Венкатадри, Елена Лучерини, Петр Сапезински и Алан Мислов заявили, что Facebook делился с рекламодателями контактной информацией (т.е. номерами телефонов), передаваемой пользователями в целях безопасности.
Международная организация Privacy International обратились к основателям Facebook за разъяснениями по поводу их политики и порядке использования телефонных номеров. И вот ответы:
Почему данная ситуация настораживает?
Обычно мы стараемся придумать один или два пароля, удовлетворяющих требования к безопасным паролям на большинстве сайтов. И мы считаем эти пароли «надежными».
К сожалению, подобные «надежные» пароли, которые мы используем везде и храним в течение многих лет, показывают тенденцию к небезопасности, из-за легкой взламываемости в результате утечки данных или продаваемости на черном рынке.
В итоге стоит отметить, что имя пользователя и пароль («однофакторная аутентификация») являются недостаточно безопасными при подтверждении владения аккаунтами, имеющими высокую ценность, будь то электронная почта, онлайн-банкинг, аккаунты в социальных сетях или другое.
Многофакторная аутентификация
Многофакторная аутентификация становится все более распространенной для устранения недостатков в безопасности паролей.
Многофакторная аутентификация — обычно реализуемая как двухфакторная аутентификация (2FA) — сводится к тому, что «что-то я знаю», и «что-то, что есть только у меня».
Этот второй фактор обычно является своего рода одноразовым паролем, который либо отправляется вам по SMS или генерируется либо в приложении, либо на аппаратном ключе.
При добавлении второго фактора, даже если вы знаете чей-то пароль, вы не сможете войти в его аккаунт без дополнительного подтверждения.
2FA обычно используют организации, чья деятельность или данные могут быть привлекательными для мошенников.
Многие онлайн-компании, предлагающие 2FA (а их немало – зайдите на отличный ресурс TwoFactorAuth), как правило, предлагают SMS в качестве своего основного, иногда эксклюзивного, второго фактора аутентификации. Например, Twitter и (до недавнего времени) Facebook, который, конечно, требует регистрации номера телефона для получения этих SMS-сообщений.
Бывший главный специалист по безопасности Facebook признал 2FA «важной защитной функцией, которая помогает многим людям снизить риск попыток фишинга и помогает защитить людей от взлома их аккаунтов». Далее он заявил, что «меньше всего мы хотим, чтобы люди избегали полезных защитных функций …» и принял срочные меры, когда в 2018 году пользователи получали SMS, не связанные с защитой их аккаунта, на свои номера телефонов, используемых для проведения двукратной аутентификации.
Итак, несмотря на важность применения 2FA и свои собственные заявления, подрывал ли Facebook доверие пользователей, используя данные 2fA для целевой рекламы?
#Это сложно
Privacy International задали основателям Facebook несколько простых вопросов, начиная с того, «точно ли теперь номера телефонов, указанные специально для целей безопасности, доступны для поиска»? И опубликовал выводы на основании ответов.
Если вы думали, что указали свой номер телефона исключительно в целях безопасности, вы ошибаетесь.
Основатели Facebook были осторожны в своих высказываниях, заметив, что «в настоящее время не существует способа указания номера телефона специально в целях безопасности» — далее уточняется, что пользователь не может подключить 2FA по SMS без предварительной регистрации номера телефона в своем аккаунте Facebook.
Однако, такой ответ немного запутан — существует два разных способа добавления номера телефона.
и
Независимо от того, какой способ используется для добавления номера телефона, конечный результат является одним и тем же — Facebook не различал методы предоставления номеров… до «недавнего времени».
«Как только пользователь добавляет свой номер телефона в свой аккаунт Facebook, а затем решает использовать этот номер телефона для включения двухфакторной аутентификации, этот номер может быть использован для целей, указанных в нашей Политике обработки данных, включая предложение продуктов и рекламные цели».
По умолчанию, добавленные в профиль пользователя Facebook телефонные номера доступны для поиска «всем». Минимально возможная аудитория, используемая для поиска — это «друзья».
До апреля 2018 года номер телефона можно было напрямую найти в строке поиска Facebook. Если вы прикрепили номер телефона к своему аккаунту Facebook до этого времени, вероятнее всего, он использовался для предложения таргетированной рекламы, согласно условиям использования Facebook
В апреле 2019 года руководство Facebook поработало над своими системами таким образом, чтобы новые телефонные номера, добавленные непосредственно через экран настроек двухфакторной аутентификации, больше не использовались для сбора данных об аудитории пользователей, показа рекламы или предоставления персонализации и улучшения продуктов Facebook.
Неясно, применялись ли эти изменения в таргетинге в апреле 2019 года задним числом к уже предоставленным телефонным номерам.
Параметр «Кто может найти меня?» используется уже много лет. В апреле 2018 года (через месяц после сообщений СМИ о злоупотреблении 2FA) Facebook «удалил возможность ввода номера телефона или адреса электронной почты другого человека в строку поиска Facebook для помощи в поиске любого профиля», однако эти данные по-прежнему могут «совмещаться» с другими способами «.
Само собой напрашивающийся вопрос заключается в том, какие «другие способы» можно использовать в вашем профиле, хотя, по-видимому, это происходит путем загрузки списка контактов в Facebook. Это, очевидно, позволяет людям, у которых уже есть ваши контактные данные, найти вас на Facebook.
Также разочаровывает тот факт, что в настоящее время, как подтверждает руководство Facebook, параметр «Кто может найти меня» применяется ко всем телефонным номерам, которые вы добавили на Facebook. Кроме того, минимальный размер аудитории, который вы можете изменить, это «друзья». Мы считаем, что параметром по умолчанию должны являться «друзья», а Facebook должен добавить «только меня» в качестве минимального размера аудитории.
Отвечая на этот вопрос руководство Facebook сослалось на пост, который они разместили в апреле 2018 года, о котором стоит вспомнить при получении запроса об использовании телефонных номеров:
«Поиск и восстановление аккаунта. До сегодняшнего дня люди могли вводить номер телефона или адрес электронной почты другого человека в строке поиска на Facebook при поиске. Это было особенно полезно для поиска друзей на языках, которые требуют больше усилий при вводе полного имени, или в случае, когда многие люди имеют одно и то же имя. Например, в Бангладеш эта функция составляет 7% всех поисковых запросов. Тем не менее, злоумышленники также использовали эти функции для удаления информации в общедоступном профиле, отправляя номера телефонов или адреса электронной почты, которые у них уже есть, посредством поиска и восстановления аккаунта. Учитывая масштаб и изощренность нашей активности, мы считаем, что общедоступный профиль большинства людей на Facebook мог бы быть таким образом удален. Так что теперь мы отключили эту функцию. Мы также вносим изменения в функцию восстановления аккаунта с целью снижения риска удаления».
5. Только новые клиенты
Руководство Facebook заверило, что «в ответ на обратную связь» теперь при добавлении нового номера телефона на аккаунт Facebook напрямую через настройки безопасности 2FA:
Если вы добавляете новый номер телефона, но не проходите через «поток двухфакторной аутентификации», зато проходите через «поток телефонных номеров», а затем решаете использовать этот номер телефона для включения 2FA, тогда:
Что остается неясным
Мы не знаем точно, когда Facebook начал запрашивать номера мобильных телефонов пользователей, сколько пользователей предоставили их и когда. Мы также не можем провести опрос, когда и почему каждый пользователь загрузил свой номер телефона, сколько пользователей полагали, что это проводилось исключительно для 2FA, и почему они верили в это.
Однако очевидно то, что многие люди полагали именно так, многие указывали свои номера телефонов, считая, что это сделает их аккаунты более безопасными, но в результате многие компании смогли размещать таргетированную рекламу на основе полученных данных пользователей.
Что дальше?
Мы считаем, что это здорово, что руководство Facebook проявило озабоченность и внесло изменения. Мы поздравляем их с этим, однако у нас все еще есть опасения по поводу параметра по умолчанию «кто может найти меня», установленного на «все».
Разрешение поиска по номерам подрывает доверие пользователей к двухфакторной аутентификации, достаточно важной функции безопасности, и подвергает риску безопасность пользователей, если они не знают, что их аккаунт может быть идентифицирован по номеру телефона. Это особенно касается активистов, диссидентов и сообществ, которым грозит риск, у которых есть явная и существующая потребность защитить свою безопасность и которые используют Facebook для общения и организации своей деятельности.
Как проверить свой аккаунт
Перейдите в Настройки> Конфиденциальность> Как люди находят и связываются с вами.
Установите флажок в раскрывающемся списке рядом с надписью «Кто может найти вас по указанному вами номеру телефона» «Друзья», а не «Все» или «Друзья друзей». В Facebook имеется параметр по умолчанию «Все».
Оригинал текста можно почитать по ссылке