No ano passado
, especialistas em segurança da informação e
jornalistas descobriram que o Facebook usa um número de telefone para publicidade direcionada, na qual o usuário digita para autenticação de dois fatores (2FA). Essa é outra "prática enganosa" na qual a maior rede social foi capturada.
Como isso funciona? Em primeiro lugar, o Facebook exigiu a inserção de um número de telefone para qualquer tipo de 2FA, mesmo que realizado através de um autenticador de software, e não por SMS (no entanto, outras empresas fazem o mesmo). Em segundo lugar, após cerca de um mês, esse usuário começou a receber publicidade direcionada de anunciantes que ficaram sabendo do seu número de telefone. Além disso, qualquer pessoa pode encontrar uma pessoa digitando seu número de telefone na pesquisa. Aconteceu que o Facebook vincula o número de telefone ao perfil, mesmo que esse número não seja especificado no perfil, mas é indicado apenas para 2FA ou no catálogo de contatos de outro usuário.
O Facebook não atendeu às inúmeras ligações para interromper essa prática e não mudou nada na funcionalidade do site. No final, o caso foi para a Federal Trade Commission (FTC). E só então o Facebook fez alguma coisa.
Em julho, o Facebook firmou um
acordo com a FTC, que promete interromper algumas práticas fraudulentas que violam os direitos do usuário. Incluindo promessas de não usar números de telefone inseridos para fins de segurança para publicidade direcionada, incluindo 2FA, recuperação de senha ou recebimento de mensagens sobre tentativas não autorizadas de fazer login na sua conta.
Juntamente com a venda de informações de contato dos anunciantes aos usuários (ao contrário de seus desejos e expectativas do serviço), o Facebook também causa outros danos. Com essas ações, prejudica a confiança dos usuários na própria autenticação de dois fatores. Mas agora se tornou um requisito mínimo obrigatório para qualquer sistema de segurança. Minando a confiança na autenticação de dois fatores, o Facebook está prejudicando outras empresas que implementaram corretamente o 2FA.
Parece que o FTC foi bem-sucedido e agora a confiança no 2FA pode ser restaurada. Mas não é tão simples.
O Electronic Frontier Fund
chama a atenção para a redação específica no texto do contrato do Facebook e da FTC. Ela menciona
apenas a proibição do uso de números para publicidade direcionada e nada mais.
Em outras palavras, o Facebook pode continuar usando perfis de sombra para outros fins. E a história mostra que, se o Facebook tiver essa oportunidade e não houver proibição direta, a empresa definitivamente continuará abusando.
Que oportunidades o Facebook teve para abuso? Existem pelo menos dois pontos.
- O contrato não afeta as pesquisas de perfil de sombra . Se você não digitar seu número no perfil, mas especificá-lo para 2FA, qualquer pessoa poderá encontrá-lo por esse número de telefone através da função de pesquisa básica no site.
Esse "buraco" é conhecido desde pelo menos 2017 , e o Facebook o fechou formalmente , mas não completamente . Houve uma oportunidade de procurar pessoas pelos números de telefone, baixando a agenda de contatos.
- O acordo não menciona o conceito de "perfis de sombra". Isso inclui os números de telefone de usuários retirados dos catálogos de contatos de outras pessoas. Eles ainda podem ser associados a um usuário específico e vendidos aos anunciantes sem notificar uma pessoa e sem o seu consentimento. O usuário ainda não tem a oportunidade de ver quais informações são coletadas em seu "perfil de sombra", mesmo entre os europeus sob a lei do RGPD.
Podemos nos alegrar com o sucesso parcial alcançado através do acordo do Facebook e da FTC. Os anunciantes não poderão mais inserir uma lista de telefones para publicidade direcionada e incluir aqueles que inseriram um número somente 2FA. Mas esse é um sucesso relativamente pequeno em comparação com outras práticas que o Facebook e outros gigantes da Internet se permitem. Parece que para alguns deles, os usuários e suas informações são apenas o produto no qual o negócio é construído.
A GlobalSign usa certificados e tokens digitais para autenticação de dois fatores conveniente e confiável. Você pode aprender mais sobre as soluções GlobalSign para 2FA em
www.globalsign.com/en-us/authentication/
