Im vergangenen Jahr
stellten Experten für Informationssicherheit und
Journalisten fest, dass Facebook eine Telefonnummer für gezielte Werbung verwendet, die der Benutzer für die Zwei-Faktor-Authentifizierung (2FA) eingibt. Dies ist eine weitere „irreführende Praxis“, in der das größte soziale Netzwerk gefangen wurde.
Wie funktioniert es Erstens forderte Facebook die Eingabe einer Telefonnummer für jede Art von 2FA, auch wenn diese über einen Software-Authentifikator und nicht über SMS erfolgt (andere Unternehmen tun dies jedoch auch). Zweitens erhielt dieser Nutzer nach etwa einem Monat gezielte Werbung von Werbetreibenden, die auf seine Telefonnummer aufmerksam wurden. Darüber hinaus kann jeder eine Person finden, indem er seine Telefonnummer in die Suche eingibt. Es stellte sich heraus, dass Facebook die Telefonnummer mit dem Profil verknüpft, auch wenn diese Nummer nicht im Profil aufgeführt ist, sondern nur für 2FA oder im Kontaktbuch eines anderen Benutzers.
Facebook hat die zahlreichen Aufrufe zur Beendigung dieser Praxis nicht beachtet und nichts an der Funktionalität der Website geändert. Am Ende ging der Fall an die Federal Trade Commission (FTC). Und erst dann hat Facebook etwas getan.
Im Juli hat Facebook eine
Vereinbarung mit der FTC geschlossen, die verspricht, einige betrügerische Praktiken zu stoppen, die die Benutzerrechte verletzen. Einschließlich der Zusagen, Telefonnummern, die für Sicherheitszwecke eingegeben wurden, nicht für gezielte Werbung zu verwenden, einschließlich 2FA, Kennwortwiederherstellung oder Empfang von Nachrichten über nicht autorisierte Versuche, sich in Ihr Konto einzuloggen.
Neben dem Verkauf der Kontaktinformationen der Nutzer an Werbetreibende (entgegen ihren Wünschen und Erwartungen an den Dienst) richtet Facebook durch seine Handlungen auch andere Schäden an. Durch solche Aktionen wird das Vertrauen der Benutzer in die Zwei-Faktor-Authentifizierung selbst untergraben. Jetzt ist es jedoch zu einer obligatorischen Mindestanforderung für jedes Sicherheitssystem geworden. Facebook untergräbt das Vertrauen in die Zwei-Faktor-Authentifizierung und schadet anderen Unternehmen, die 2FA korrekt implementiert haben.
Es scheint, dass die FTC erfolgreich war und nun das Vertrauen in 2FA wiederhergestellt werden kann. Aber nicht so einfach.
Der Electronic Frontier Fund
macht auf den spezifischen Wortlaut im Text der Facebook- und FTC-Vereinbarung aufmerksam. Sie erwähnt
nur ein Verbot der Verwendung von Zahlen für gezielte Werbung und nichts weiter.
Mit anderen Worten, Facebook kann weiterhin Schattenprofile für andere Zwecke verwenden. Und die Geschichte zeigt, dass wenn Facebook eine solche Gelegenheit hat und es kein direktes Verbot gibt, das Unternehmen sie definitiv weiterhin missbrauchen wird.
Welche Möglichkeiten hatte Facebook für Missbrauch? Es gibt mindestens zwei Punkte.
- Die Vereinbarung wirkt sich nicht auf die Suche nach Schattenprofilen aus . Wenn Sie Ihre Nummer nicht in das Profil eingeben, sondern für 2FA angeben, kann Sie jeder über diese Telefonnummer über die grundlegende Suchfunktion auf der Website finden.
Dieses „Loch“ ist seit mindestens 2017 bekannt und wurde von Facebook offiziell geschlossen , jedoch nicht vollständig . Es bestand die Möglichkeit, anhand ihrer Telefonnummern nach Personen zu suchen, indem das Telefonbuch ihrer Kontakte heruntergeladen wurde.
- In der Vereinbarung wird das Konzept der „Schattenprofile“ überhaupt nicht erwähnt. Dies schließt die Telefonnummern der Benutzer ein, die aus den Kontaktbüchern anderer Personen entnommen wurden. Sie können weiterhin einem bestimmten Benutzer zugeordnet und ohne Benachrichtigung einer Person und ohne deren Zustimmung an Werbetreibende verkauft werden. Der Benutzer hat immer noch nicht die Möglichkeit zu sehen, welche Informationen in seinem „Schattenprofil“ gesammelt werden, selbst unter Europäern nach dem DSGVO-Gesetz.
Wir können uns über den teilweisen Erfolg freuen, der durch die Vereinbarung von Facebook und FTC erzielt wurde. Werbetreibende können keine Liste von Telefonen für gezielte Werbung mehr eingeben und diejenigen einschließen, die eine Nur-2FA-Nummer eingegeben haben. Dies ist jedoch ein relativ kleiner Erfolg im Vergleich zu anderen Praktiken, die sich Facebook und andere Internetgiganten erlauben. Es scheint, dass für einige von ihnen Benutzer und ihre Informationen nur das Produkt sind, auf dem das Geschäft aufbaut.
GlobalSign verwendet digitale Zertifikate und Token für eine bequeme und zuverlässige Zwei-Faktor-Authentifizierung. Weitere
Informationen zu GlobalSign-Lösungen für 2FA finden Sie unter
www.globalsign.com/en-us/authentication/.
