Facebook наконец-то прекратит таргетировать рекламу по телефонным номерам, которые люди вводят для 2FA

    В прошлом году специалисты по информационной безопасности и журналисты выяснили, что Facebook использует для таргетированной рекламы телефонный номер, который пользователь вводит для двухфакторной аутентификации (2FA). Это очередная «обманная практика», в которой уличили крупнейшую социальную сеть.

    Как это работает. Во-первых, Facebook требовал ввести номер телефона для любого вида 2FA, даже если она осуществляется через программный аутентификатор, а не SMS (впрочем, так поступают и другие компании). Во-вторых, примерно через месяц этот пользователь начинал получать таргетированную рекламу от рекламодателей, которым стал известен его номер телефона. Более того, кто угодно мог найти человека, введя его телефонный номер в поиске. Оказалось, что Facebook привязывает номер телефона к профилю даже в том случае, если этот номер не указан в профиле, а указан только для 2FA или в контактной книге другого пользователя.

    Facebook не прислушался к многочисленным призывам прекратить эту практику и ничего не изменил в функциональности сайта. В конце концов дело поступило на рассмотрение Федеральной торговой комиссии (FTC). И только тогда Facebook что-то предпринял.

    В июле Facebook заключил соглашение с FTC, по которому обещает прекратить некоторые обманные практики, которые ущемляют права пользователей. В том числе обещает не использовать для таргетированной рекламы телефонные номера, введённые для любой цели безопасности, в том числе для 2FA, восстановления пароля или получения сообщений о посторонних попытках входа в аккаунт.

    Наряду с продажей рекламодателям контактной информации пользователей (вопреки их желанию и ожиданиям от работы сервиса), Facebook своими действиями наносит и другой ущерб. Такими действиями он подрывает доверие пользователей к самой двухфакторной аутентификации. А ведь она сейчас стала обязательным минимальным требованием к любой системе безопасности. Подрывая доверие к двухфакторной аутентификации, Facebook наносит вред другим компаниям, которые корректно внедрили 2FA.

    Казалось бы, FTC добилась своего, и теперь доверие к 2FA может быть восстановлено. Но не всё так просто.

    Фонд электронных рубежей обращает внимание на конкретную формулировку в тексте соглашения Facebook и FTC. Она упоминает только запрет на использование номеров для таргетированной рекламы, и больше ничего.

    Другими словами, Facebook может продолжить использование теневых профилей в других целях. А история показывает, что если у Facebook есть такая возможность и отсутствует прямой запрет, то компания обязательно продолжит злоупотребления.

    Какие возможности остались у Facebook для злоупотреблений? Здесь как минимум два момента.

    1. Соглашение не затрагивает поиск по теневым профилям. Если не вводить свой номер в профиле, но указать его для 2FA, то кто угодно может найти вас по этому телефонному номеру через базовую функцию поиска на сайте.

      Эта «дыра» известна как минимум с 2017 года, и Facebook формально закрыл её, но не до конца. Осталась возможность искать людей по их номерам телефонов путём загрузки своей телефонной книги контактов.
    2. Соглашение вообще не упоминает понятие «теневых профилей». Сюда входят и телефонные номера пользователей, взятые из чужих книг контактов. Их по-прежнему можно ассоциировать с конкретным пользователем и продавать рекламодателям без уведомления человека и без его согласия. У пользователя по-прежнему нет возможности увидеть, какая информация собрана в его «теневом профиле», даже у европейцев по закону GDPR.

    Можно порадоваться частичному успеху, который достигнут благодаря соглашению Facebook и FTC. Теперь рекламодатели не смогут ввести список телефонов для таргетированной рекламы и включить в него тех, кто ввёл номер только для 2FA. Но это относительно небольшой успех на фоне остальных практик, которые позволяет себе Facebook и другие интернет-гиганты. Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.



    GlobalSign используют цифровые сертификаты и токены для удобной и надежной двухфакторной аутентификации. Узнать подробнее о решениях GlobalSign для 2FA вы можете на сайте: www.globalsign.com/ru-ru/authentication/



    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Пользуетесь ли вы Facebook?

    GlobalSign
    156,62
    Компания
    Поделиться публикацией

    Комментарии 11

      +3
      а вот интересно, по секретным фразам (а-ля девичья «фамилия матери» и т.д) и паролям они еще не профилируют?
        0
        Даже не сомневайтесь… И, возможно, что продают их ломальщикам банковских карт…
        +6
        Похоже, что для некоторых из них пользователи и их информация — лишь продукт, на котором строится бизнес.
        Да вы шо! Правда что ли?!
          0
          Шок: на продукте с многомиллиардными инвестициями… ЗАРАБАТЫВАЮТ! Ужос!!!
          0
          В том числе обещает не использовать для таргетированной рекламы телефонные номера

          Правильно, ведь для скандалов есть другие фирмы типа Cambridge Analytica, пусть все претензии к ним будут :)
            –2
            Пока в каких-то «одних руках» будут находиться «персональные данные», из которых можно извлекать коммерческую выгоду, коммерческая выгода будет извлекаться…
            Ну а чё добру пропадать то?-)

            Значит надо сделать так, чтобы эти данные в «одних руках» не хранились, например «распределенные» соц.сети.

            Грубо говоря это может быть куча отдельных сайтиков-бложиков и сайтов-групп бложиков, единый сервер агрегатор(или несколько) и сервис сквозной авторизации.
            Сайтики «отмеряют» серверу-агрегатору инфу для индексации, ровно столько, сколько им это необходимо.
            Ну а сервер-агрегатор только обеспечивает поиск нужной «открытой» информации по этим сайтикам.
            Под сайтики можно задействовать какие либо из готовых «движков» типа Wordpress, Drupal и т.п.
            Главное обеспечить их функционалом по какому-то стандартному для данной системы «протоколу» обмениваться данными с агрегатором.
              +1
              Грубо говоря это может быть куча отдельных сайтиков-бложиков и сайтов-групп бложиков

              Этот этап интернета уже давно прошёл — этот «свободный рынок» привёл к монополии :)
              Может и сделают внешнее разнообразие, как например «широкий» выбор соков «J7», «Я», «Тонус», «Фруктовый сад», «Привет» — но это всё PepsiCo (ещё и с одного и того-же завода)
              +1
              А чему тут удивляться, это крайне логично. Есть минимум две большие проблемы:

              1) Людям массово (я не говорю об отдельных энтузиастах) наплевать на все, что не мешает им что-то делать: пока в Фейсбуке можно постить посты, в Инстаграмме пытаться выглядеть успешным существом, которое много путешествует, а на Яндекс.Картах строить маршруты, то компании (и Facebook, и Google, и российские компании, и любые другие) могут делать что угодно, кроме продажи пользователей в рабы, вот тогда люди возмутятся.

              2) За условные 10 лет энтузиасты, ценители приватности и специалисты по безопасности не смогли найти и понятно сформулировать причины, почему утечки данных и нарушения приватности вредны и заслуживают внимания. Сейчас все слишком частно выглядит примерно так:
              — А вы знали, что Фейсбук игнорирует свои обещания и нарушает приватность пользователей?!111
              — Ух, а к чему в реальности это приведёт для меня, для обычного пользователя?
              — Ааа, эээ, ну, объявления нечестно таргетируют, что там еще, эээ. В общем, поищите где-то в интернете.
              — Ладно, ничего страшного и не произошло, я пошёл.
              Сложно говорить о важности приватности, если нет понятного и популярного списка причин, почему это важно для рядового человека.
                0
                Осторожнее, а то упомянутые вами энтузиасты начнут создавать этот список причин-прецедентов собственноручно =) Чтоб т.с. ужаснуть общественность =)
                0
                У ФБ есть поведенческая аналитика, а это похлеще телефонов в 2FA. Интересно, когда возьмутся за профайлинг. Хотя… никогда.
                Щас телефон и из почты достать можно
                  0
                  >впрочем, так поступают и другие компании

                  Не все, в Google accounts, например, можно активировать Fido ключ без указания телефона

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое