Éppen néhány hete javasoltuk olvasóinknak, hogy kapcsolják be a Facebook-fiókjukban (is) a kétfaktoros azonosítást. Egy olyan megoldásról van szó, melyet legtöbben talán az online bankolás során ismerhettek meg először: belépéskor a szokásos jelszón kívül egy ideiglenesen használható kódot is be kell gépelni, melyet például a felhasználó által előzetesen megadott telefonszámra küld ki a rendszer.

Az amerikai Északkeleti Egyetem és a Princeton Egyetem kutatói egy (ebben az angol nyelvű tanulmányban bemutatott) hónapokon át tartó tesztsorozattal kiderítették: a biztonsági célra elkért telefonszámot a fizetős hirdetők segítésére is felhasználja a Facebook, a reklámok személyes célzásához.

Az Északkeleti Egyetem kutatói gárdáját erősítő Alan Mislove látványosan bemutatta a Gizmodo újságírójának, miről is van szó. Megkérte őt, hogy adjon fel egy olyan hirdetést a Facebook rendszerében, amely célzását úgy állítja be (úgy targetálja a reklámot), hogy az a Mislove irodájában lévő vezetékes telefonszámmal rendelkező felhasználó(k)nak jelenjen meg. A kutató Facebook-falán pedig néhány óra múlva meg is jelent a hirdetés.

Miért látom a hirdetést? A Facebook saját rendszerüzenete buktatta le az oldalt.

Facebook / Alan Mislove

Mivel a Facebookon egy ideje minden hirdetésről néhány kattintással kideríthető, hogy milyen alapon is jelent meg éppen a mi falunkon, Mislove rányomott a gombra. A rendszer kiírta, hogy azért látja a hirdetést, mert szerepel a próbaként beállított Facebook-oldal ügyféllistáján. Ez így is volt, viszont úgy került a teszthirdetés mögötti "ügyféllistára", hogy az újságíró a teszt kedvéért beírta oda a telefonszámát.

A gyakorlatban ez azt jelenti, hogy ha egy vállalat ismeri a telefonszámunkat, akkor konkrétan nekünk üzenhet egy hirdetésben a Facebookon – miközben a Facebook a vonatkozó telefonszámot kizárólag biztonsági célokra kérte el. De extrém esetben egy minket bosszantani kívánó ismerős (magánszemély) is zaklathat ilyen áron: a telefonszámunkkal célozva elintézheti, hogy az általa kívánt dolgokat mutassa nekünk reklámként a Facebook. Megfelelően kitalált üzenetekkel így igen komolyan rá lehet ijeszteni valakire.

Ez ebben a formában nem igaz

Mindez több szempontból is nagyon rossz fényt vet a Facebookra. Alig fél éve, hogy a közösségi oldalról kiderült: a rendszerében nyitva hagyott kiskapu lehetőséget biztosított harmadik félnek arra, hogy manipulációra alkalmas adatokat gyűjtsön a felhasználókról, és ezt több tízmillió ember esetében meg is tette a Cambridge Analytica elemzőcég. A Cambridge Analytica-botrány miatt kialakult adatmentési hullám után bizonyosodott be, hogy a Facebook azt is figyeli, hogy kivel és mennyi ideig telefonálunk, és hogy épp kinek küldünk vagy kitől kaptunk SMS-t. Nem sokkal később látott napvilágot, hogy a Facebook  még akkor is fenntartotta a legalább 60 eszközgyártóval megkötött adatmegosztási megállapodásait, miután a nyilvánosság előtt azt állította, harmadik fél nem juthat a felhasználók érzékeny adataihoz.

Még ennél is sokkal "kellemetlenebb", hogy a vállalat februárban azt állította, csupán egy technikai hiba miatt történhetett meg az, hogy sokan mindenféle facebookos értesítéseket kaptak arra a telefonszámra, amit ők csak a kétlépcsős hitelesítéshez, biztonsági célból adtak meg a Facebooknak. (Külön pikáns, hogy ezt az az Alex Stamos biztonsági főnök állította, aki nyáron végül belebukott a Facebook körüli kényes ügyekbe.) Az aktuális fejlemények legalábbis gyengítik az állítás hitelességét.

A Facebook több amerikai sajtóorgánumnak is elismerte a kutatók megállapításait. Közlésük szerint ők csupán egy jobb, személyre szabottabb facebookozási élményt szeretnének biztosítani a felhasználóiknak.

A vállalat közleményétől némiképp eltérő álláspontra helyezkedett John Gruber amerikai webes szakértő. A kutatók tesztsorozatának eredményét megismerve úgy fogalmazott:

"Ezen a ponton azt kell gondolnom, hogy a Facebook egy bűnszervezet. Jogilag talán nem, de erkölcsileg mindenképpen."

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.