Минулого року фахівці з інформаційної безпеки і журналісти з’ясували, що Facebook використовує для таргетованої реклами телефонні номери, які користувачі вводили задля двофакторної аутентифікації (2FA). Це чергова «облудна практика», в якій викрили найбільшу соціальну мережу.
Як це працює. По-перше, Facebook вимагав ввести номер телефону для будь-якого виду 2FA, навіть якщо вона здійснюється через програмний аутентифікатор, а не SMS (втім, так роблять і й інші компанії). По-друге, приблизно за місяць цей користувач починав отримувати таргетовану рекламу від рекламодавців, яким ставав відомий його номер телефону. Більш того, будь-хто міг знайти людину, ввівши його телефонний номер в пошуку. Виявилося, що Facebook прив’язує номер телефону до профілю навіть в тому випадку, якщо цей номер не вказано в профілі, а зазначено тільки для 2FA або в контактній книзі іншого користувача.
Спочатку Facebook не прислуховувалася до численних закликів припинити цю практику і нічого не змінила у функціональності сайту. Зрештою справа надійшла на розгляд Федеральної торгової комісії (FTC). І тільки тоді Facebook щось зробила.
У липні Facebook уклала угоду з FTC, за якою обіцяє припинити деякі обманні практики, які обмежують права користувачів. У тому числі обіцяє не використовувати для таргетованої реклами телефонні номери, введені для будь-якої мети безпеки, в тому числі для 2FA, відновлення пароля або отримання повідомлень про сторонні спроби входу в обліковий запис.
Поряд з продажем рекламодавцям контактної інформації користувачів (всупереч їх бажанням і очікуванням від роботи сервісу), Facebook своїми діями завдає й інший збиток. Такими діями він підриває довіру користувачів до самої двофакторної аутентифікації, адже вона зараз стала обов’язковою мінімальною вимогою до будь-якій системі безпеки. Підриваючи довіру до двофакторної аутентифікації, Facebook завдає шкоди іншим компаніям, які коректно впровадили 2FA.
Здавалося б, FTC домоглася свого, і тепер довіру до 2FA може бути відновлено. Але не все так просто.
Фонд електронних рубежів звертає увагу на конкретне формулювання в тексті угоди Facebook і FTC. Вона згадує тільки заборону на використання номерів для таргетованої реклами, і більше нічого.
Іншими словами, Facebook може продовжити використання тіньових профілів в інших цілях. А історія показує, що якщо у Facebook є така можливість і відсутня пряма заборона, то компанія обов’язково продовжить зловживання.
Які можливості залишилися у Facebook для зловживань? Тут як мінімум два моменти.
Угода не зачіпає пошук за тіньовими профілями. Якщо не вводити свій номер в профілі, але вказати його для 2FA, то хто завгодно може знайти вас за цим телефонним номером через базову функцію пошуку на сайті.
Ця «дірка» відома як мінімум з 2017 року, і Facebook формально закрив її, але не до кінця. Залишилася можливість шукати людей за їхніми номерами телефонів шляхом завантаження своєї телефонної книги контактів.
Угода взагалі не згадує поняття «тіньових профілів». Сюди входять і телефонні номери користувачів, взяті з чужих книг контактів. Їх, як і раніше, можна асоціювати з конкретним користувачем і продавати рекламодавцям без повідомлення особи і без його згоди. У користувача, як і раніше немає можливості побачити, яка інформація зібрана в його «тіньовому профілі», навіть у європейців за законом GDPR.
Можна порадіти часткового успіху, який досягнутий завдяки угоді Facebook і FTC. Тепер рекламодавці не зможуть ввести список телефонів для таргетованої реклами і включити в нього тих, хто ввів номер тільки для 2FA. Але це відносно невеликий успіх на тлі інших практик, які дозволяє собі Facebook і інші інтернет-гіганти. Схоже, що для деяких з них користувачі і їхня інформація – лише продукт, на якому будується бізнес.
Джерело: habr.com
