في العام الماضي
، وجد
خبراء وصحفيون في مجال أمن المعلومات أن Facebook يستخدم رقم هاتف للإعلانات المستهدفة ، والتي يدخلها المستخدم للمصادقة الثنائية (2FA). هذه "ممارسة خادعة" أخرى تم اكتشاف أكبر شبكة اجتماعية فيها.
كيف يعمل؟ أولاً ، طلب Facebook إدخال رقم هاتف لأي نوع من أنواع 2FA ، حتى إذا تم تنفيذه من خلال أداة مصادقة البرامج ، وليس الرسائل النصية القصيرة (ومع ذلك ، فإن الشركات الأخرى تفعل الشيء نفسه). ثانياً ، بعد حوالي شهر ، بدأ هذا المستخدم في تلقي إعلانات مستهدفة من المعلنين الذين أصبحوا على علم برقم هاتفه. علاوة على ذلك ، يمكن لأي شخص العثور على شخص عن طريق إدخال رقم هاتفه في البحث. اتضح أن Facebook يربط رقم الهاتف بالملف الشخصي حتى إذا لم يتم تحديد هذا الرقم في الملف الشخصي ، ولكن يتم الإشارة إليه فقط لـ 2FA أو في دفتر جهات الاتصال لمستخدم آخر.
لم يستجب Facebook للمكالمات العديدة لإيقاف هذه الممارسة ولم يغير أي شيء في وظائف الموقع. في النهاية ، ذهبت القضية إلى لجنة التجارة الفيدرالية (FTC). وعندها فقط قام Facebook بعمل شيء ما.
في يوليو ، دخل Facebook في
اتفاقية مع FTC ، والتي تعد بإيقاف بعض الممارسات الاحتيالية التي تنتهك حقوق المستخدم. بما في ذلك الوعود بعدم استخدام أرقام الهواتف التي تم إدخالها لأي غرض أمان للإعلانات المستهدفة ، بما في ذلك 2FA أو استرداد كلمة المرور أو تلقي رسائل حول محاولات غير مصرح بها لتسجيل الدخول إلى حسابك.
إلى جانب بيع معلومات الاتصال الخاصة بالمستخدمين للمعلنين (خلافًا لرغباتهم وتوقعاتهم بشأن الخدمة) ، يتسبب Facebook أيضًا في أضرار أخرى بسبب تصرفاته. بمثل هذه الإجراءات ، فإنه يقوض ثقة المستخدمين في المصادقة الثنائية نفسها. ولكن أصبح الآن الحد الأدنى من المتطلبات الإلزامية لأي نظام أمان. تقويضًا من الثقة في المصادقة ثنائية العوامل ، يلحق Facebook الضرر بالشركات الأخرى التي طبقت بشكل صحيح 2FA.
يبدو أن FTC قد نجحت ، والآن يمكن استعادة الثقة في 2FA. لكن ليس بهذه البساطة.
يلفت صندوق الحدود الإلكترونية
الانتباه إلى الصياغة المحددة في نص اتفاقية Facebook و FTC. تذكر
فقط فرض حظر على استخدام الأرقام للإعلانات المستهدفة ، ولا شيء أكثر من ذلك.
بمعنى آخر ، قد يستمر Facebook في استخدام ملفات تعريف الظل لأغراض أخرى. ويظهر التاريخ أنه إذا كانت Facebook لديها مثل هذه الفرصة ولم يكن هناك حظر مباشر ، فستواصل الشركة بالتأكيد استغلالها.
ما هي الفرص التي أتيحت لـ Facebook للإساءة؟ هناك نقطتان على الأقل.
- لا تؤثر الاتفاقية على عمليات البحث في ملف تعريف الظل . إذا لم تقم بإدخال رقمك في ملف التعريف ، لكنك حددته لـ 2FA ، فيمكن لأي شخص العثور عليك عبر رقم الهاتف هذا من خلال وظيفة البحث الأساسية على الموقع.
عُرفت هذه "الحفرة" منذ عام 2017 على الأقل ، وأغلقها Facebook رسميًا ، ولكن ليس تمامًا . كانت هناك فرصة للبحث عن الأشخاص عن طريق أرقام هواتفهم عن طريق تنزيل دفتر هاتف جهات الاتصال الخاصة بهم.
- لا يذكر الاتفاق مفهوم "ملامح الظل" على الإطلاق. يتضمن هذا أرقام هواتف المستخدمين المأخوذة من دفاتر الاتصال الخاصة بالأشخاص الآخرين. لا يزال من الممكن ربطهم بمستخدم معين وبيعه للمعلنين دون إخطار شخص ودون موافقته. لا يزال لدى المستخدم فرصة لمعرفة المعلومات التي يتم جمعها في "ملف تعريف الظل" الخاص به ، حتى بين الأوروبيين بموجب قانون الناتج المحلي الإجمالي.
يمكننا أن نفرح بالنجاح الجزئي الذي تم تحقيقه من خلال اتفاقية Facebook و FTC. لن يتمكن المعلنون بعد الآن من إدخال قائمة هواتف للإعلانات المستهدفة وتضمين أولئك الذين أدخلوا رقمًا 2FA فقط. لكن هذا يعد نجاحًا صغيرًا نسبيًا مقارنة بالممارسات الأخرى التي يسمح بها فيس بوك وغيرها من عمالقة الإنترنت. يبدو أن المستخدمين ومعلوماتهم بالنسبة للبعض منهم ، هي فقط المنتج الذي تم بناء الأعمال عليه.
تستخدم GlobalSign الشهادات والرموز الرقمية لمصادقة ثنائية العامل مريحة وموثوقة. يمكنك معرفة المزيد حول حلول GlobalSign لـ 2FA على
www.globalsign.com/en-us/authentication/
