В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.Как это работает. Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.
Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). И только тогда Facebook что-то предпринял.
В июле Facebook заключил соглашение с FTC, по которому обещает прекратить некоторые обманные практики, которые ущемляют права пользователей. В том числе обещает не использовать для таргетированной рекламы телефонные номера, введённые для любой цели безопасности, в том числе для 2FA, восстановления пароля или получения сообщений о посторонних попытках входа в аккаунт.
Наряду с продажей рекламодателям контактной информации пользователей (вопреки их желанию и ожиданиям от работы сервиса), Facebook своими действиями наносит и другой ущерб. Такими действиями он подрывает доверие пользователей к самой двухфакторной аутентификации. А ведь она сейчас стала обязательным минимальным требованием к любой системе безопасности. Подрывая доверие к двухфакторной аутентификации, Facebook наносит вред другим компаниям, которые корректно внедрили 2FA.
Казалось бы, FTC добилась своего, и теперь доверие к 2FA может быть восстановлено. Но не всё так просто.
Фонд электронных рубежей обращает внимание на конкретную формулировку в тексте соглашения Facebook и FTC. Она упоминает только запрет на использование номеров для таргетированной рекламы, и больше ничего.
Другими словами, Facebook может продолжить использование теневых профилей в других целях. А история показывает, что если у Facebook есть такая возможность и отсутствует прямой запрет, то компания обязательно продолжит злоупотребления.
Какие возможности остались у Facebook для злоупотреблений? Здесь как минимум два момента.
- Соглашение не затрагивает поиск по теневым профилям. Если не вводить свой номер в профиле, но указать его для 2FA, то кто угодно может найти вас по этому телефонному номеру через базовую функцию поиска на сайте.
Эта «дыра» известна как минимум с 2017 года, и Facebook формально закрыл её, но не до конца. Осталась возможность искать людей по их номерам телефонов путём загрузки своей телефонной книги контактов.
- Соглашение вообще не упоминает понятие «теневых профилей». Сюда входят и телефонные номера пользователей, взятые из чужих книг контактов. Их по-прежнему можно ассоциировать с конкретным пользователем и продавать рекламодателям без уведомления человека и без его согласия. У пользователя по-прежнему нет возможности увидеть, какая информация собрана в его «теневом профиле», даже у европейцев по закону GDPR.
Можно порадоваться частичному успеху, который достигнут благодаря соглашению Facebook и FTC. Теперь рекламодатели не смогут ввести список телефонов для таргетированной рекламы и включить в него тех, кто ввёл номер только для 2FA. Но это относительно небольшой успех на фоне остальных практик, которые позволяет себе Facebook и другие интернет-гиганты. Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.
GlobalSign используют цифровые сертификаты и токены для удобной и надежной двухфакторной аутентификации. Узнать подробнее о решениях GlobalSign для 2FA вы можете на сайте: www.globalsign.com/ru-ru/authentication/
Комментарии (10)
CaptainFlint
12.08.2019 12:24Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.
Да вы шо! Правда что ли?!
GCU
12.08.2019 16:04В том числе обещает не использовать для таргетированной рекламы телефонные номера
Правильно, ведь для скандалов есть другие фирмы типа Cambridge Analytica, пусть все претензии к ним будут :)
orion76
12.08.2019 16:14Пока в каких-то «одних руках» будут находиться «персональные данные», из которых можно извлекать коммерческую выгоду, коммерческая выгода будет извлекаться…
Ну а чё добру пропадать то?-)
Значит надо сделать так, чтобы эти данные в «одних руках» не хранились, например «распределенные» соц.сети.
Грубо говоря это может быть куча отдельных сайтиков-бложиков и сайтов-групп бложиков, единый сервер агрегатор(или несколько) и сервис сквозной авторизации.
Сайтики «отмеряют» серверу-агрегатору инфу для индексации, ровно столько, сколько им это необходимо.
Ну а сервер-агрегатор только обеспечивает поиск нужной «открытой» информации по этим сайтикам.
Под сайтики можно задействовать какие либо из готовых «движков» типа Wordpress, Drupal и т.п.
Главное обеспечить их функционалом по какому-то стандартному для данной системы «протоколу» обмениваться данными с агрегатором.GCU
12.08.2019 16:35Грубо говоря это может быть куча отдельных сайтиков-бложиков и сайтов-групп бложиков
Этот этап интернета уже давно прошёл — этот «свободный рынок» привёл к монополии :)
Может и сделают внешнее разнообразие, как например «широкий» выбор соков «J7», «Я», «Тонус», «Фруктовый сад», «Привет» — но это всё PepsiCo (ещё и с одного и того-же завода)
pyrk2142
12.08.2019 19:17А чему тут удивляться, это крайне логично. Есть минимум две большие проблемы:
1) Людям массово (я не говорю об отдельных энтузиастах) наплевать на все, что не мешает им что-то делать: пока в Фейсбуке можно постить посты, в Инстаграмме пытаться выглядеть успешным существом, которое много путешествует, а на Яндекс.Картах строить маршруты, то компании (и Facebook, и Google, и российские компании, и любые другие) могут делать что угодно, кроме продажи пользователей в рабы, вот тогда люди возмутятся.
2) За условные 10 лет энтузиасты, ценители приватности и специалисты по безопасности не смогли найти и понятно сформулировать причины, почему утечки данных и нарушения приватности вредны и заслуживают внимания. Сейчас все слишком частно выглядит примерно так:
— А вы знали, что Фейсбук игнорирует свои обещания и нарушает приватность пользователей?!111
— Ух, а к чему в реальности это приведёт для меня, для обычного пользователя?
— Ааа, эээ, ну, объявления нечестно таргетируют, что там еще, эээ. В общем, поищите где-то в интернете.
— Ладно, ничего страшного и не произошло, я пошёл.
Сложно говорить о важности приватности, если нет понятного и популярного списка причин, почему это важно для рядового человека.kovalenko_k_i
13.08.2019 12:55Осторожнее, а то упомянутые вами энтузиасты начнут создавать этот список причин-прецедентов собственноручно =) Чтоб т.с. ужаснуть общественность =)
AcronyMoM
13.08.2019 10:00У ФБ есть поведенческая аналитика, а это похлеще телефонов в 2FA. Интересно, когда возьмутся за профайлинг. Хотя… никогда.
Щас телефон и из почты достать можно
EminH
13.08.2019 15:52>впрочем, так поступают и другие компании
Не все, в Google accounts, например, можно активировать Fido ключ без указания телефона
vassabi
а вот интересно, по секретным фразам (а-ля девичья «фамилия матери» и т.д) и паролям они еще не профилируют?
vtc
Даже не сомневайтесь… И, возможно, что продают их ломальщикам банковских карт…