14:27
5/3/2019

Numer telefonu podany Facebookowi w celu zabezpieczenia konta niestety może być także użyty do targetowania reklam, wyszukiwania profilu i łączenia informacji w ramach różnych usług. Jest to podwójnie nieodpowiedzialne ze strony czołowego serwisu społecznościowego. Nie tylko zarządzanie prywatnością jest nieprzejrzyste, ale dodatkowo ludzie tracą zaufanie do funkcji, która powinna być stosowana przez wszystkich.

Zacznijmy od tego, że jeśli korzystasz z Facebooka to powinieneś/powinnaś mieć włączone logowanie dwuskładnikowe (tzw. 2FA). Dzięki temu do zalogowania potrzebne będzie coś więcej niż login i hasło, a przecież przejęcie konta na Facebooku może być bardzo bolesne (np. ktoś może użyć Twojego konta by oszukać członków Twojej rodziny, poważnie Cię skompromitować, uzyskać dostęp do innych twoich usług itd.).

Facebook ma różne opcje 2FA – kody SMS, klucze U2F, aplikacje. Naturalnie większość ludzi wybierze kody SMS, co wymaga podania Facebookowi swojego numeru telefonu. Wydaje się, że numer podany w celu zabezpieczenia konta nie jest używany do innych celów. Błąd! Facebook szerzej korzysta z tego numeru i… odkryto to już dawno temu.

Ale skąd to wiadomo?

Problem został opisany jeszcze w ubiegłym roku, najpierw w artykule pt. Investigating sources of PII used in Facebook’s targeted advertising, którego autorami są Giridhari Venkatadri, Elena Lucherini, Piotr Sapiezynski oraz Alan Mislove (link prowadzi do tekstu na stronie tego ostatniego). Autorzy badania chcieli sprawdzić skąd dokładnie Facebook pobiera informacje identyfikujące poszczególne osoby. Polecamy cały artykuł bo jest arcyciekawy

Badacze ustalili m.in., że jeśli użytkownik przekaże Facebookowi numer telefonu w celu włączenia 2FA to numer zacznie być znany reklamodawcom w ciągu kilku tygodni. Aby to potwierdzić badacze brali “świeży” numer i dodawali go jako numer dla SMS-ów weryfikacyjnych. Później sprawdzali, czy numer ten jest targetowany przy reklamach i nawet uruchamiali kontrolne reklamy, które miały potwierdzić  targetowanie. Serwis Gizmodo, który opisał ustalenia badaczy, postanowił spytać Facebooka o sprawę. Rzecznik firmy odpowiedział, że serwis używa informacji dostarczanych przez ludzi by zaoferować bardziej spersonalizowane funkcje, w tym reklamy (czytaj: “tak, robimy to, ale nie chcemy tego nazywać po imieniu”).

Trzeba tu dodać, że w maju 2018 roku Facebook przestał wymagać rejestrowania numeru telefonu w celu włącznia 2FA. Nie zmienia to faktu, że:

  • wielu ludzi włączających tę funkcję wcześniej po prostu dodało swoje numery oraz…
  • nadal wiele osób może być nieświadomych, że numer podany przy włączaniu 2FA będzie używany do innych celów.

Facebook nie od dziś wydaje się nie całkiem szczery i przewidywalny w zakresie ustawień prywatności. Należy jednak pamiętać, że na Facebooku to my jesteśmy produktami, a produktom nie trzeba się tłumaczyć.

Temat odkopany

Teraz mamy potwierdzenie, że nadal wiele osób nie ma świadomości w zakresie przetwarzania numerów telefonu przez Facebooka. Jeremy Burge, twórca Emojipedii, wywołał małą burzę tym tweetem.

To rozwścieczyło wielu ludzi. I jak zwykle w takich sytuacjach, użytkownicy zaczęli sobie zadawać dodatkowe pytania. Czy mogę usunąć raz podany numer telefonu? Jakie są ustawienia prywatności związane z telefonem?

Jeśli zajrzycie do swoich ustawień prywatności (Ustawienia > Prywatność) to prawdopodobnie zobaczycie, że na podstawie numeru telefonu mogą was wyszukać wszyscy. To jest domyślne ustawienie. Możecie je przestawić na Znajomi Znajomych lub Znajomi, ale nie ma opcji całkowitego zablokowania wyszukiwania po numerze. Warto też wiedzieć, że samo usuniecie telefonu z opcji 2FA nie spowoduje odpięcia numeru od konta.  Jeśli chcecie zdecydowanie usunąć numer telefonu, musicie wybrać Ustawienia >Telefon i dopiero tam usunąć numer (po dodatkowym podaniu hasła).

Jeremy Burge zwrócił uwagę na inne ciekawostki. Po tym, jak dodał on swój numer telefonu do Facebooka (tylko w celu uruchomienia 2FA), na jego koncie na Instagramie pojawiła się taka oto zachęta.

Propozycja w rodzaju “Powiedz wszystko, bo my i tak to wiemy”

Oczywiście Facebook i Instagram są powiązane, ale teoretycznie miały pozostać odrębnymi usługami. W tej sytuacji Instagram mógłby choć trochę udawać, że jeszcze nie zna numeru telefonu Jeremy’ego :).

2FA nie jest złe

Najgorsze w całej sytuacji jest to, że może dojść do wzbudzania strachu wobec logowania dwuskładnikowego, którego nawet teraz używa mały odsetek użytkowników. Tymczasem logowanie dwuskładnikowe niewątpliwie jest dobrym, dodatkowym zabezpieczeniem przed intruzami chociaż – warto pamiętać – nie zawsze jest całkowicie odporne na phishing. Zwykle konsekwentnie doradzamy, aby korzystać z managera haseł, zorganizować sobie klucz U2F i dla pewności przejść ten quiz phishingowy. Facebookowi oczywiście należy się bura za to, że wykorzystuje informacje udzielane w celu zabezpieczenia konta do targetowania reklam i wiązania kont użytkowników w różnych usługach.

Przeczytaj także:

52 komentarzy

Dodaj komentarz
  1. Niedawno zastąpiłem weryfikację sms na facebooku na weryfikację za pomocą kodu z aplikacji. Numer telefonu usunąłem całkowicie z fb – nie ma go w żadnym miejscu (no może poza “Dziennikiem aktywności”, w którym jest wzmianka że taki numer posiadałem).
    Po całkowitym usunięciu numeru, gdy wybieram opcję “nie pamiętam nazwy konta” i wpisaniu usuniętego numeru telefonu wyświetla się opcja umożliwiająca zresetowanie hasła…
    Działa to tylko na przeglądarce, na której byłem wcześniej zalogowany (po wyczyszczeniu ciasteczek opcja ta już nie działa w ten sposób), ale mimo wszystko działa, więc numer telefonu został usunięty tylko teoretycznie.

    • To jeszcze podaj jakie uprawnienia ma aplikacja :D

    • @Jarek: Jaka aplikacja? Microsoft Authenticator?

    • NIGDY nie wpisalem do FB ani google swojego telefonu. Oczywiscie wiem, ze android swoje wynosi googlowi, a api do pierdyliarda aplikacji facebookowi.

  2. a jak myslicie, w jaki sposob dziala lookup osob z list kontaktow jesli chodzi o FB, Messenger, Whatsapp itd. z chmury a nie z nieba pochodza informacje ze dany kontakt posiada konto w jednej z powyzszych uslug, czyli nota bene z 2fa.

  3. “Nie można usunąć tego numeru telefonu z Twojego konta”. A jednak, gdy ponownie wchodzę w “telefon”, nie ma tam numeru. Czemu podejrzewam, że W słowniku Facebooka “usuń” znaczy “przestań informować użytkownika, że to wiesz”?

    • Podejrzewasz bidulko ? Przecież to jest pewne. XD PS: najlepsze życzenia – piszę 8-ego :)

  4. “Wydaje się, że numer podany w celu zabezpieczenia konta nie jest używany do innych celów.”
    Wydaje się, że jak się przekaże sensacyjną plotkę w zaufaniu tylko 20 koleżankom to nikt się o niej nie dowie – to równie sensowne stwierdzenie.
    No ale jeśli się poleca Gmaila jako najlepszą skrzynkę “dla przeciętnego użytkownika” to i takie rzeczy mogą się wydawać.
    “Facebook szerzej korzysta z tego numeru”
    A więc nadal wierzycie, że Facebook jest wyjątkiem?

    • Krytykujesz tak tego Gmaila, ale szczerze – załóżmy że jestem zwykłym Kowalskim – jaką skrzynkę chcesz polecić? Mimo wszystko GMail ma wszytko co niezbędne i ponad ponad to (klucze u2f to trochę ponad poziom zwykłego Kowalskiego ale może kiedyś się upowszechnianią)

  5. Polecam aplikacje “drugi numer, 2nr” do wszelkich rejestracji w usługach od nas wymagających numeru telefonu. Co prawda działa tylko przy rejestrowaniu. W uwierzytelnianiu dwuskładnikowym może się nie sprawdzić bo łatwo ten numer stracić jak się nie będzie regularnie korzystać.

  6. Zgadzam się z sw3, że promowanie konta gmaila było wyjątkowo mało fortunne ze strony redakcji ze względu na to, że google to jeszcze większy szkodnik w zakresie kradzieży prywatności od google. Wiele osób nie jest tego świadom więc powinno się o tym informować, a nie zachęcać do korzystania…
    A co do fb… sam dałem się na to nabrać. Podałem numer do uwierzytelniana sms już kilka lat temu, jednak potem go usunąłem. Niedawno wystąpiłem o kopię wszystkich moich danych i w archiwum znalazł się ten numer mimo, że przeglądając ustawienia fb nigdzie nie mogę na niego trafić. Oczywiście nie ma możliwości indywidualnego kontaktu mailowego itp z facebookiem więc nie wiem jak mogę usunąć ten numer z głębokich backupów fb

    • Konto Gmail jest pod kątem bezpieczeństwa najlepszym wyborem. Co do prywatności zarówno ryzyka jak i możliwość ich kontrolowania zostały w artykule szczegółowo i rzetelnie opisane. Ktoś kto nazywa ten tekst niefortunnym chyba go nie przeczytał w całości lub ze zrozumieniem.

    • Piotrze, nazwanie “niefortunnym” jest dość dobrym określeniem, gdyż często prywatność musi iść w parze z bezpieczeństwem, a w przypadku Google i jego GMail już niekoniecznie.
      Nawet prywatne osoby przesyłają mailem hasła do różnych ciekawych rzeczy (jak np. konta bankowe), więc lepiej by nikt poza nadawcą i odbiorcą dostępu do takich danych nie miał. W przypadku Google takiej pewności nie ma, a po kilku ich wpadkach jest raczej pewność, że te dane wędrują po świecie.

    • Kenjiro maile nigdy nie miały być jakoś specjalnie zabezpieczane, mimo to jest wiele narzędzi kryptograficznych do tego, by taka sytuacja, o jakiej mówisz nie zaistniała, słyszałeś o GPG? Wykorzystuje się je do podpisywania swoich wiadomości, oraz do szyfrowania, tak byś tylko Ty i twój korespondent mógł odczytać waszą korespondencję.

    • pełna zgoda, promowanie gmaila przez redakcję to chyba żart; ponadto pełno błędnych informacji , np jakoby protonmail nie miał dwuskładnikowego uwierzytelniania..

  7. 2FA niestety nie jest najlepsze
    https://github.com/drk1wi/Modlishka

    • Chyba na Niebezpieczniku od dawna polecają u2f, a poza tym nic lepszego obecnie nie ma.
      Tyle, że fizyczny token jednak oznacza dodatkowe koszty, które raczej dla większości użytkowników będą się wydawać zbyt duże.

      2FA przez aplikację lub SMS nie jest zupełnie odporne na phishing, ale i tak znacznie go utrudnia. W przypadku TOTP atakujący ma jedynie kilkadziesiąt sekund na zalogowanie się zebranymi danymi, co w praktyce oznacza, że musi jakoś zautomatyzować logowanie. W wielu serwisach w tym momencie pojawi się też email o nowym logowaniu z nieznanego urządzenia, co daje użytkownikowi szansę na szybkie zatrzymanie ataku – albo przynajmniej zorientowanie się, że ma miejsce.

      Bez 2FA w tej sytuacji mógłbyś nigdy nie wiedzieć, że coś się w ogóle stało. Strona mogła by np. przekierować cię do rzeczywistej strony danego serwisu, mając nadzieję, że już jesteś tam zalogowany. A atakujący może w wygodnym dla siebie, albo niewygodnym dla ciebie (np. w środku nocy) momencie się zalogować.

    • Przykład, który podałeś, jest bez sensu – owszem, narzędzie wykrada jednokrotnie token uwierzytelniający. Sęk w tym, że jak user się wyloguje, to taka sesja i zebrany login/hasło jest nic niewarta – i na tym polega siła 2FA.
      Nawiasem mówiąc, gdyby to było U2F, to user nie dałby się “złapać”.

  8. To ktos jeszcze wierzy Fejs-zbukowi? Cytat:

    “Correction: Last month, we called Zuckerberg a moron. We apologize. In fact, he and Facebook are a fscking disgrace”

    https://www.theregister.co.uk/2019/03/01/facebook_teentracking_app/

    • fscking? Czy on regularnie sprawdza systemy plików programem fsck?

  9. Przewidując opisaną w artykule sytuację nigdy nie podawałem facebookowi we formularzach numeru telefonu.
    Ciekaw jestem czy mimo to sam go sobie nie wyciągnął (np poprzez aplikację zainstalowaną w przeszłości na telefonie).
    Czy ktoś zna bezpieczny sposób na sprawdzenie powiązań danego numer telefonu w systemie facebooka?

    • Nie wiem w jaki sposób wyciągnął? dowiedziałbys się o tym – SMS generuje informacje, a nie ma API pozwalającego wyciągnąć numer :=) chyba że masz swój numer w kontach i zezwoliłes fejsbukowi na dostęp, to pewnie mają twój number w bazie i już go tak łatwo nie usuną

    • Nie musisz podawać numeru. Pewnie FB już dawno go ma bo ktoś z Twoich znajomych udostępnił wszystkie kontakty. I pewnie FB ma ten numer tylko sie tym nie chwali publicznie.

    • Tak, ale pozostaje jeszcze kwestia dopasowania. Ktoś udostępnił listę kontaktów, na której jest Twój numer +48555555555 przypisany do nazwiska “Jan Kowalski”. Ty nie masz wpisanego numeru na Facebooku. Jeśli masz ustawione prawdziwe imię i nazwisko – teoretycznie dałoby się to powiązać, ale jest dość dużo Janów Kowalskich. W szczególności, możesz mieć więcej niż jednego w znajomych.
      W efekcie tego powstałaby baza danych “niepewnych” – nie jestem przekonany, że Facebookowi taka baza jest potrzebna; raczej obstawiam, że nie opłaca mu się jej budować.

  10. @Piotr Konieczny

    Nie mozna oddzielic bezpieczenstwa od prywatnosci. Im wiecej podmiotow ma nasze dane (slaba prywatnosc) tym nizsze nasze bezpieczenstwo, bo wieksza szansa na wyciek.

    Zdumiewa mnie, jak osoba ze swiata IT security namawia wszystkich do Gmaila i sama aktywnie korzysta w Fejs-zbuka. Zapewniam, ze mozna normalnie zyc bez obu.

    • Nie chodzi o rozdzielanie ale o świadome zarządzanie. Osoby o mniejszej wiedzy technicznej są skore (i zupełnie słusznie) do skorzystania z większego bezpieczeństwa danych/pieniędzy kosztem mniejszej prywatności. Przeczytaj artykuł i zobacz jak określiłem w nim grupę docelową i dlaczego korzystanie z innych dostawców poczty, jeśli faktycznie aktywnie się tego kanału komunikacji używa, wcale nie zwiększa Twojej odporności na profilowanie przez GMaila, bo i tak z użytkownikami tej usługi pocztę wymieniasz.
      Warto też zdać sobie sprawę, że nawet osoby świadome, które myślą że zachowują prywatność, często żyją w błędzie (false sense of security/privacy) — po prostu nie zdają sobie sprawę z tego, jak “nie wprost” firmy pozyskują ich dane i jak bardzo można je profilować nie tylko po “przysłowiowych” ciasteczkach. Zachowanie prywatności w dzisiejszym świecie to bardzo trudna, nawet dla “profesjonalistów” rzecz. Zachodzi też pytanie, czy zawsze potrzebna — na które już każdy powinien sobie sam odpowiedzieć, w zależności od stopnia swojej paranoi :)

    • @Piotr Konieczny
      Czyli Twoim zdaniem jeśli kogoś podglądają pod prysznicem to może się rozebrać i wybrać nago na spacer po mieście bo co za różnica?

    • @sw3 nie wiem jak doszedłeś do takiego wniosku. I szczerze mówiąc nawet nie chcę wiedzieć.

    • Piotrze, wychodzisz z błędnego założenia, że prywatność jest ortogonalna do bezpieczeństwa. Nie jest i na wielu polach się pokrywa.
      Np. nawet jeśli mam rozmówców na GMailu, to nie muszę im wysyłać prywatnych danych, zaś jest mam tam konto, to nie mam wyboru, no chyba, że całkowicie przestanę takie dane transportować e-mailem, co się oczywiście mija z celem posiadania konta e-mail.

    • Pozostaje jeszcze kwestia metadanych. Wyznaczenia siatki kontaktów. To że ktoś będzie się pilnował, aby nie napisać w mailu do użytkownika GMaila, że “kocha Zosię” to nie jest dobra ochrona prywatności…

    • @Piotr Konieczny.

      Napisałeś “w zależności od stopnia swojej paranoi :)”.
      Skąd takie pejoratywne określenie na dbanie o niezbieranie danych?
      To sugeruje, że niechęć do bycia profilowanym i szufladkowanym jest czymś co najmniej dziwnym. Moim zdaniem nie jest – dziwnym jest huraoptymistyczne podejście, że te dane są wykorzystywane w dobrym celu. Dziś może i tak, ale wystarczy żeby do władzy doszedł faszysta, komunista, czy też dowolny inny fanatyk ideologiczny który poprzez “niewidzialny, przezroczysty system” zacznie powoli, ale skutecznie dyskryminować ludzi o określonych poglądach.

      Przypominam, że tylko siedemdziesiąt lat temu szło się w piach za bycie narodzonym z “niewłaściwej” macicy. I to właśnie prywatni pionierzy IT byli pomocni w tej operacji.

    • Nie postrzegam tego jako zwrot pejoratywny. Ja mam wysoki stopień paranoi. Robię rzeczy, które dla normalnego człowieka nie mają większego sensu. Ważne, żeby robić to świadomie.

    • @Piotr Konieczny

      To weźże czasami przypominaj nam, że osobiście masz wysoki poziom paranoi, żebyśmy Twoich “rozwiązań dla nieostrożnego usera” nie odbierali jako kierowanych do staaaarych czytelników niebezpiecznika.
      Z jednej strony cieszy, że powiększa się grupa czytelników portalu o osoby mniej doświadczone i nie-z-branży, ale z drugiej strony jak piszesz tylko do nich, to “stara gwardia” może się poczuć zdradzona, chlip, chlip ;P

    • @Piotr Konieczny”

      “Robię rzeczy, które dla normalnego człowieka nie mają większego sensu.”

      Możemy liczyć na jakieś zestawienie?
      Coś jak 10 porad bezpieczeństwa.
      Tak, wiem – Wierni czytelnicy powinni znać sporo z tych zabiegów, jednak świetnie byłoby mieć to wszystko zebrane w 1 miejscu.

  11. a kto jeszcze korzysta z FB ?

  12. A może ktoś mi wyjaśnić, co jest złego w tym, że ktoś korzysta z naszego numeru w celu np. personalizacji reklam?

    • Jeśli Facebook bierze Twój numer w celu umożliwienia dwustopniowej weryfikacji, a w rzeczywistości używa tego numeru do personalizacji reklam, narusza prawo ochrony danych osobowych. To jest rozszerzenie celu przetwarzania i trzeba mieć ku temu odpowiednią podstawę prawną, np. Twoją zgodę (chociaż można poszukać innej podstawy). Trzeba też informować o tym, że dane się przetwarzana w takim celu. A jak się tego nie robi, to mamy teraz RODO i możemy go użyć, żeby się poskarżyć, a Facebook kiedyś dostanie tę wielomilionową karę.

    • Poza tym, skoro używa do reklam, to zapewne przekazuje to swoim partnerom biznesowym. To oznacza, że dane, które miały być prywatne i do celów bezpieczeństwa, być może są już publiczne i “pływają” sobie w płatnych bazach danych pomiędzy bezimiennymi konglomeratami medialnymi.

  13. Zainstalujcie fb na androida i zrobcie backup na fb i potem ja sciagnijcie na dysk i rozpakujcie to zobaczycie co fb zgrywa do siebie w t m.in rejestr wszystkich połączeń

  14. A myślicie że jak kupiliście Samsunga, który ma z założenia wgranego tego wirusa bota od FB, to nie ściągnął sobie już wszystkiego? Otóż nie. Natychmiast po zalogowaniu rozpozna waszą sieć powiązań etc. Teoria spiskowa? No tak ale dlaczego aplikacja która nic nie robi (bo nie jesteśmy zalogowani do FB) zjada 30% baterii? Genialne zdanie… o tym że jesteśmy tylko produktem, towarem w podtekście 500USD/rocznie :-) Miłego lajkowania :D

    • Swoją drogą zastanawiam się, czy aby na pewno sprzedaż usługi (Facebook/Google) wraz z produktem (smartfon) jest legalna. Nie podpada to pod sprzedaż pakietową produktów z dwóch różnych dziedzin?

  15. Ja na FB nie zaakceptowałem nowego regulaminu odnośnie RODO, a mimo to można mnie wyszukać po moim numerze telefonu

  16. Za darmo google też zbiera dane :)

  17. Stwierdzenie, że jeśli za coś nie płacisz, to ty jesteś produktem jest mało trafne. W dzisiejszym internecie jesteś produktem bez względu na to, czy płacisz za dostęp do usługi czy nie. Pozdrawiam.

  18. Nikt spoza mojej książki tel. nie może do mnie zatelefonować. Koniec tematu.

    • Ograniczenie odbierania do znanych numerów jest po drugiej stronie ich udostępniania. Kolega zmieni numer i nawet nie będzie Ci w stanie przekazać informacji o tym.

  19. 1)- FB na Andku nie stanowi problemu, pod warunkiem że masz zrootowany telefon i aplikacje do zarządzania uprawnieniami np. MyAndroidTools (jedyne czego nie potrafi wyłączyć, to systemowa biblioteka reklam)
    2)- znam kilka niezłych zamienników Gmaila, od Protona zaczynając

    PS- z powodu FB położyłem aplikację Allegro- po wyłączeniu dostępu do bibliotek FB w ogóle się nie startuje ;-)

    • Polecam apkę Allegro postawić na *izolowanej VM w Genymotion.
      Póki co działa, ale w każdej chwili mogą przyblokować.
      Np. Revolut nie działa przez Genymotiona.

      * czyt: nie masz tam innych aplikacji.

  20. Poprawka do artykułu – powinno brzmieć “Dochodzą do nas informacje, że ludzie *jeszcze* korzystają z facebooka. A nie powinni”.

  21. Dodam od siebie że podczas ustawiania 2FA na Facebooku miałem opcje dodania tzw. “authenticator app” jak np Google authenticator i taką też opcje wybrałem… zgadnijcie czy kod od niej zadziałał ;) Podpowiem że nie i wysyłają mi smsy za każdym razem.

  22. Mamy dwudziestypierwszy wiek dwa tysiace dziewietnascie – uzywanie oprogramowania jawnie szpiegujacego wszytkich i wszystko dowodzi zniewolenia zhaowania umyslu, naprawde jest mnostwo zamiennikow. Nie uzywam gmaila ani jewbooka od dawna i nie ma tygodnia, abym sie nie utwierdzal w przekonaniu iz jesto zdrowe podejscie :) pozdro szesc

  23. Świat zwierząt:
    “Albo Ty jesz, albo Ciebie jedzą”

    Świat ludzi:
    “Albo Ty kupujesz, albo Ciebie kupują”

    Natury nie oszukasz, zmieniają się tylko szczegóły :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: