Хабрахабр

Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA

В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.

Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Как это работает. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.

В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В том числе обещает не использовать для таргетированной рекламы телефонные номера, введённые для любой цели безопасности, в том числе для 2FA, восстановления пароля или получения сообщений о посторонних попытках входа в аккаунт. И только тогда Facebook что-то предпринял.
В июле Facebook заключил соглашение с FTC, по которому обещает прекратить некоторые обманные практики, которые ущемляют права пользователей.

Такими действиями он подрывает доверие пользователей к самой двухфакторной аутентификации. Наряду с продажей рекламодателям контактной информации пользователей (вопреки их желанию и ожиданиям от работы сервиса), Facebook своими действиями наносит и другой ущерб. Подрывая доверие к двухфакторной аутентификации, Facebook наносит вред другим компаниям, которые корректно внедрили 2FA. А ведь она сейчас стала обязательным минимальным требованием к любой системе безопасности.

Но не всё так просто. Казалось бы, FTC добилась своего, и теперь доверие к 2FA может быть восстановлено.

Она упоминает только запрет на использование номеров для таргетированной рекламы, и больше ничего. Фонд электронных рубежей обращает внимание на конкретную формулировку в тексте соглашения Facebook и FTC.

А история показывает, что если у Facebook есть такая возможность и отсутствует прямой запрет, то компания обязательно продолжит злоупотребления. Другими словами, Facebook может продолжить использование теневых профилей в других целях.

Здесь как минимум два момента. Какие возможности остались у Facebook для злоупотреблений?

  1. Соглашение не затрагивает поиск по теневым профилям. Если не вводить свой номер в профиле, но указать его для 2FA, то кто угодно может найти вас по этому телефонному номеру через базовую функцию поиска на сайте.

    Эта «дыра» известна как минимум с 2017 года, и Facebook формально закрыл её, но не до конца. Осталась возможность искать людей по их номерам телефонов путём загрузки своей телефонной книги контактов.

  2. Соглашение вообще не упоминает понятие «теневых профилей». Сюда входят и телефонные номера пользователей, взятые из чужих книг контактов. Их по-прежнему можно ассоциировать с конкретным пользователем и продавать рекламодателям без уведомления человека и без его согласия. У пользователя по-прежнему нет возможности увидеть, какая информация собрана в его «теневом профиле», даже у европейцев по закону GDPR.

Можно порадоваться частичному успеху, который достигнут благодаря соглашению Facebook и FTC. Теперь рекламодатели не смогут ввести список телефонов для таргетированной рекламы и включить в него тех, кто ввёл номер только для 2FA. Но это относительно небольшой успех на фоне остальных практик, которые позволяет себе Facebook и другие интернет-гиганты. Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.
GlobalSign используют цифровые сертификаты и токены для удобной и надежной двухфакторной аутентификации. Узнать подробнее о решениях GlobalSign для 2FA вы можете на сайте: www.globalsign.com/ru-ru/authentication/

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть