В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.
Как это работает. Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.
Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). И только тогда Facebook что-то предпринял.
В июле Facebook заключил соглашение с FTC, по которому обещает прекратить некоторые обманные практики, которые ущемляют права пользователей. В том числе обещает не использовать для таргетированной рекламы телефонные номера, введённые для любой цели безопасности, в том числе для 2FA, восстановления пароля или получения сообщений о посторонних попытках входа в аккаунт.
Наряду с продажей рекламодателям контактной информации пользователей (вопреки их желанию и ожиданиям от работы сервиса), Facebook своими действиями наносит и другой ущерб. Такими действиями он подрывает доверие пользователей к самой двухфакторной аутентификации. А ведь она сейчас стала обязательным минимальным требованием к любой системе безопасности. Подрывая доверие к двухфакторной аутентификации, Facebook наносит вред другим компаниям, которые корректно внедрили 2FA.
Казалось бы, FTC добилась своего, и теперь доверие к 2FA может быть восстановлено. Но не всё так просто.
Фонд электронных рубежей обращает внимание на конкретную формулировку в тексте соглашения Facebook и FTC. Она упоминает только запрет на использование номеров для таргетированной рекламы, и больше ничего.
Другими словами, Facebook может продолжить использование теневых профилей в других целях. А история показывает, что если у Facebook есть такая возможность и отсутствует прямой запрет, то компания обязательно продолжит злоупотребления.
Какие возможности остались у Facebook для злоупотреблений? Здесь как минимум два момента.
- Соглашение не затрагивает поиск по теневым профилям. Если не вводить свой номер в профиле, но указать его для 2FA, то кто угодно может найти вас по этому телефонному номеру через базовую функцию поиска на сайте.
Эта «дыра» известна как минимум с 2017 года, и Facebook формально закрыл её, но не до конца. Осталась возможность искать людей по их номерам телефонов путём загрузки своей телефонной книги контактов.
- Соглашение вообще не упоминает понятие «теневых профилей». Сюда входят и телефонные номера пользователей, взятые из чужих книг контактов. Их по-прежнему можно ассоциировать с конкретным пользователем и продавать рекламодателям без уведомления человека и без его согласия. У пользователя по-прежнему нет возможности увидеть, какая информация собрана в его «теневом профиле», даже у европейцев по закону GDPR.
Можно порадоваться частичному успеху, который достигнут благодаря соглашению Facebook и FTC. Теперь рекламодатели не смогут ввести список телефонов для таргетированной рекламы и включить в него тех, кто ввёл номер только для 2FA. Но это относительно небольшой успех на фоне остальных практик, которые позволяет себе Facebook и другие интернет-гиганты. Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.
GlobalSign используют цифровые сертификаты и токены для удобной и надежной двухфакторной аутентификации. Узнать подробнее о решениях GlobalSign для 2FA вы можете на сайте: www.globalsign.com/ru-ru/authentication/
Автор: GlobalSign_admin