去年
,信息安全专家和
记者发现Facebook使用电话号码进行有针对性的广告,用户输入该电话号码即可进行两因素验证(2FA)。 这是最大的社交网络被发现的另一种“欺骗性做法”。
如何运作? 首先,Facebook要求输入任何类型的2FA的电话号码,即使它是通过软件验证器而不是SMS来完成的(但是,其他公司也是如此)。 其次,大约一个月后,该用户开始从广告商那里收到有针对性的广告,他们已经知道了他的电话号码。 此外,任何人都可以通过在搜索中输入其电话号码来找到一个人。 事实证明,即使此号码未在个人资料中列出,但仅在2FA或其他用户的通讯录中列出,Facebook仍将电话号码链接到个人资料。
Facebook没有留意阻止这种做法的大量呼吁,也没有改变网站的功能。 最后,该案移交给了联邦贸易委员会(FTC)。 直到那时,Facebook才有所作为。
今年7月,Facebook与美国联邦贸易委员会(FTC)
达成了一项
协议 ,该
协议承诺将停止某些侵犯用户权利的欺诈行为。 包括保证不会出于安全目的而输入的电话号码用于有针对性的广告,包括2FA,密码恢复或接收有关未经授权尝试登录您的帐户的消息。
除了将用户的联系信息出售给广告商(与其对服务的期望和期望相反)之外,Facebook的行为还造成其他损害。 通过这种动作,它破坏了用户对两因素身份验证本身的信任。 但是现在它已成为所有安全系统的强制性最低要求。 Facebook破坏了对两因素身份验证的信心,正在损害其他已正确实施2FA的公司。
FTC似乎已经成功,现在可以恢复对2FA的信心。 但不是那么简单。
电子前沿基金会
提请注意 Facebook和FTC协议文本中的特定措辞。 她
只提到禁止在目标广告中使用数字,仅此而已。
换句话说,Facebook可能会继续将阴影配置文件用于其他目的。 历史表明,如果Facebook有这样的机会并且没有直接的禁令,那么该公司肯定会继续滥用它。
Facebook有哪些滥用机会? 至少有两点。
- 该协议不影响阴影轮廓搜索 。 如果您没有在配置文件中输入您的电话号码,而是将其指定为2FA,那么任何人都可以通过网站上的基本搜索功能通过该电话号码找到您。
至少自2017年以来,这个“漏洞”就已为人所知,Facebook 正式将其关闭 ,但并未完全 关闭 。 通过下载联系人的电话簿,可以通过电话号码搜索人员。
- 该协议完全没有提及“阴影轮廓”的概念。 这包括从其他人的通讯录中获取的用户电话号码。 他们仍然可以与特定用户相关联,并出售给广告商,而无需通知任何人,也无需他的同意。 用户仍然没有机会看到在他的“影子配置文件”中收集到的信息,即使是根据GDPR法律在欧洲人中也是如此。
我们可以为通过Facebook和FTC的协议而取得的部分成功感到高兴。 广告商将不再能够输入用于定向广告的电话列表,并且包括那些仅输入2FA号码的电话。 但是,与Facebook和其他互联网巨头允许的其他做法相比,这是一个相对较小的成功。 对于他们中的某些人来说,用户及其信息似乎只是建立业务的产品。
GlobalSign使用数字证书和令牌来进行便捷可靠的两因素身份验证。 您可以在
www.globalsign.com/en-us/authentication/了解有关2FA GlobalSign解决方案的更多信息。
