Tahun lalu
, pakar keamanan informasi dan
jurnalis menemukan bahwa Facebook menggunakan nomor telepon untuk iklan bertarget, yang dimasukkan pengguna untuk otentikasi dua faktor (2FA). Ini adalah "praktik penipuan" lain di mana jaringan sosial terbesar ditangkap.
Bagaimana cara kerjanya? Pertama, Facebook menuntut untuk memasukkan nomor telepon untuk semua jenis 2FA, bahkan jika itu dilakukan melalui autentikator perangkat lunak, bukan SMS (namun, perusahaan lain melakukan hal yang sama). Kedua, setelah sekitar satu bulan, pengguna ini mulai menerima iklan bertarget dari pengiklan yang mengetahui nomor teleponnya. Selain itu, siapa pun dapat menemukan seseorang dengan memasukkan nomor telepon mereka dalam pencarian. Ternyata Facebook menautkan nomor telepon ke profil bahkan jika nomor ini tidak tercantum dalam profil, tetapi hanya untuk 2FA atau dalam buku kontak pengguna lain.
Facebook tidak mengindahkan banyak panggilan untuk menghentikan praktik ini dan tidak mengubah apa pun dalam fungsi situs. Pada akhirnya, kasus tersebut pergi ke Federal Trade Commission (FTC). Dan baru saat itulah Facebook melakukan sesuatu.
Pada bulan Juli, Facebook menandatangani
perjanjian dengan FTC, yang berjanji untuk menghentikan beberapa praktik penipuan yang melanggar hak pengguna. Termasuk janji untuk tidak menggunakan nomor telepon yang dimasukkan untuk tujuan keamanan apa pun untuk iklan bertarget, termasuk 2FA, pemulihan kata sandi, atau menerima pesan tentang upaya tidak sah untuk masuk ke akun Anda.
Seiring dengan penjualan informasi kontak pengguna ke pengiklan (bertentangan dengan keinginan dan harapan mereka dari layanan), Facebook juga melakukan kerusakan lain dengan tindakannya. Dengan tindakan seperti itu, itu merusak kepercayaan pengguna dalam otentikasi dua faktor itu sendiri. Tetapi sekarang telah menjadi persyaratan minimum wajib untuk sistem keamanan apa pun. Melemahkan kepercayaan pada otentikasi dua faktor, Facebook merugikan perusahaan lain yang telah menerapkan 2FA dengan benar.
Tampaknya FTC telah berhasil, dan sekarang kepercayaan pada 2FA dapat dipulihkan. Tapi tidak sesederhana itu.
Electronic Frontier Fund
menarik perhatian pada kata-kata spesifik dalam teks perjanjian Facebook dan FTC. Dia
hanya menyebutkan larangan penggunaan angka untuk iklan bertarget, dan tidak lebih.
Dengan kata lain, Facebook dapat terus menggunakan profil bayangan untuk tujuan lain. Dan sejarah menunjukkan bahwa jika Facebook memiliki kesempatan seperti itu dan tidak ada larangan langsung, maka perusahaan pasti akan terus menyalahgunakannya.
Peluang apa yang dimiliki Facebook karena melanggar? Setidaknya ada dua poin.
- Perjanjian tidak mempengaruhi pencarian profil bayangan . Jika Anda tidak memasukkan nomor Anda di profil, tetapi menentukannya untuk 2FA, maka siapa pun dapat menemukan Anda dengan nomor telepon ini melalui fungsi pencarian dasar di situs.
"Lubang" ini telah dikenal setidaknya sejak 2017 , dan Facebook secara resmi menutupnya , tetapi tidak sepenuhnya . Ada kesempatan untuk mencari orang dengan nomor telepon mereka dengan mengunduh buku telepon kontak mereka.
- Perjanjian tersebut tidak menyebutkan konsep "profil bayangan" sama sekali. Ini termasuk nomor telepon pengguna yang diambil dari buku kontak orang lain. Mereka masih dapat dikaitkan dengan pengguna tertentu dan dijual kepada pengiklan tanpa memberi tahu seseorang dan tanpa persetujuannya. Pengguna masih tidak memiliki kesempatan untuk melihat informasi apa yang dikumpulkan dalam "profil bayangan" nya, bahkan di antara orang Eropa di bawah undang-undang GDPR.
Kami dapat bersukacita atas keberhasilan parsial yang dicapai melalui persetujuan Facebook dan FTC. Pengiklan tidak lagi dapat memasukkan daftar ponsel untuk iklan bertarget dan termasuk mereka yang memasukkan nomor 2FA saja. Tetapi ini adalah keberhasilan yang relatif kecil dibandingkan dengan praktik lain yang diizinkan oleh Facebook dan raksasa internet lainnya. Tampaknya bagi sebagian dari mereka, pengguna dan informasi mereka hanyalah produk tempat bisnis itu dibangun.
GlobalSign menggunakan sertifikat dan token digital untuk otentikasi dua faktor yang nyaman dan andal. Anda dapat mempelajari lebih lanjut tentang solusi GlobalSign untuk 2FA di
www.globalsign.com/en-us/authentication/
