- PVSM.RU - https://www.pvsm.ru -

Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA

Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA - 1В прошлом году специалисты по информационной безопасности [1] и журналисты [2] выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.

Как это работает. Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.

Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). И только тогда Facebook что-то предпринял.

В июле Facebook заключил соглашение [3] с FTC, по которому обещает прекратить некоторые обманные практики, которые ущемляют права пользователей. В том числе обещает не использовать для таргетированной рекламы телефонные номера, введённые для любой цели безопасности, в том числе для 2FA, восстановления пароля или получения сообщений о посторонних попытках входа в аккаунт.

Наряду с продажей рекламодателям контактной информации пользователей (вопреки их желанию и ожиданиям от работы сервиса), Facebook своими действиями наносит и другой ущерб. Такими действиями он подрывает доверие пользователей к самой двухфакторной аутентификации. А ведь она сейчас стала обязательным минимальным требованием к любой системе безопасности. Подрывая доверие к двухфакторной аутентификации, Facebook наносит вред другим компаниям, которые корректно внедрили 2FA.

Казалось бы, FTC добилась своего, и теперь доверие к 2FA может быть восстановлено. Но не всё так просто.

Фонд электронных рубежей обращает внимание [4] на конкретную формулировку в тексте соглашения Facebook и FTC. Она упоминает только запрет на использование номеров для таргетированной рекламы, и больше ничего.

Другими словами, Facebook может продолжить использование теневых профилей в других целях. А история показывает, что если у Facebook есть такая возможность и отсутствует прямой запрет, то компания обязательно продолжит злоупотребления.

Какие возможности остались у Facebook для злоупотреблений? Здесь как минимум два момента.

  1. Соглашение не затрагивает поиск по теневым профилям. Если не вводить свой номер в профиле, но указать его для 2FA, то кто угодно может найти вас по этому телефонному номеру через базовую функцию поиска на сайте.
    Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA - 2

    Эта «дыра» известна как минимум с 2017 года [5], и Facebook формально закрыл её [6], но не до конца [7]. Осталась возможность искать людей по их номерам телефонов путём загрузки своей телефонной книги контактов.

  2. Соглашение вообще не упоминает понятие «теневых профилей». Сюда входят и телефонные номера пользователей, взятые из чужих книг контактов. Их по-прежнему можно ассоциировать с конкретным пользователем и продавать рекламодателям без уведомления человека и без его согласия. У пользователя по-прежнему нет возможности увидеть, какая информация собрана в его «теневом профиле», даже у европейцев по закону GDPR.

Можно порадоваться частичному успеху, который достигнут благодаря соглашению Facebook и FTC. Теперь рекламодатели не смогут ввести список телефонов для таргетированной рекламы и включить в него тех, кто ввёл номер только для 2FA. Но это относительно небольшой успех на фоне остальных практик, которые позволяет себе Facebook и другие интернет-гиганты. Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.

GlobalSign используют цифровые сертификаты и токены для удобной и надежной двухфакторной аутентификации. Узнать подробнее о решениях GlobalSign для 2FA вы можете на сайте: www.globalsign.com/ru-ru/authentication/ [8]

Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA - 3 [9]

Автор: GlobalSign_admin

Источник [10]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/facebook/326802

Ссылки в тексте:

[1] специалисты по информационной безопасности: https://mislove.org/publications/PII-PETS.pdf

[2] журналисты: https://gizmodo.com/facebook-is-giving-advertisers-access-to-your-shadow-co-1828476051

[3] соглашение: https://www.ftc.gov/system/files/documents/cases/182_3109_facebook_order_filed_7-24-19.pdf

[4] обращает внимание: https://www.eff.org/deeplinks/2019/07/fixed-ftc-orders-facebook-stop-using-your-2fa-number-ads

[5] с 2017 года: https://medium.com/intigriti/how-i-got-your-phone-number-through-facebook-223b769cccf1

[6] формально закрыл её: https://newsroom.fb.com/news/2018/04/restricting-data-access/

[7] не до конца: https://edition.cnn.com/2019/03/04/tech/facebook-phone-number-look-up/index.html

[8] www.globalsign.com/ru-ru/authentication/: https://www.globalsign.com/ru-ru/authentication/

[9] Image: https://clck.ru/HAaXS

[10] Источник: https://habr.com/ru/post/463303/?utm_source=habrahabr&utm_medium=rss&utm_campaign=463303