Yhteisöpalvelu Facebook on uuden tietosuojaskandaalin äärellä. Käyttäjien ainoastaan tietoturvatarkoituksiin luovuttamilla puhelinnumeroilla on mahdollista etsiä muita käyttäjiä syöttämällä numeroita Facebookin hakuun.
Asiasta kirjoittavat muun muassa Fast Company ja Cnet. Kyse on puhelinnumeroista, jotka Facebook on saanut käyttäjien aktivoidessa kaksivaiheisen tunnistuksen (2FA). Tunnistuksen tarkoitus on estää ulkopuolisia pääsemästä tilinne, vaikka nämä tietäisivätkin salasanan.
Asiasta kertoi Emojipedian perustaja Jeremy Burge Twitterissä.
– Vuosien ajan Facebook väitti, että puhelinnumeron lisääminen 2FA:ta varten liittyi vain tietoturvaan. Nyt sillä voi hakea, eikä sitä pysty mitenkään kytkemään pois päältä, Burke toteaa.
Saman havainnon on tehnyt The New York Timesiin kirjoittava tietoturvatutkija Zeynep Tufekci.
– Turvallisuuden käyttäminen tietosuojan heikentämiseen entisestään on viheliäinen teko – etenkin, koska puhelinnumerot voidaan kaapata turvallisuuden heikentämiseksi, Tufekci kirjoittaa Twitterissä.
Numeroita käytetään mainontaan
Lähes vuosi sitten Facebook vakuutti kytkeneensä pois päältä mahdollisuuden hakea ihmisiä puhelinnumerolla. Tämä herättää kysymyksen, peruttiinko päätös jossain vaiheessa vai eikö se koskenut numeroita, jotka yhteisöpalvelu saa 2FA:n kautta.
2FA:ta varten annettuja numeroita on myös käytetty mainosten kohdentamiseen. Facebook käyttää tähän tarkoitukseen myös sellaisia puhelinnumeroita, joita käyttäjät eivät milloinkaan Facebookille edes antaneet vaan Facebook on onkinut tiedot kaverien puhelinmuistioista.
Kyseessä ei olisi ensimmäinen kerta, kun Facebook on turvallisuuteen vedoten saanut käyttäjät luovuttamaan itsestään entistä enemmän tietoa. Näin yhtiö menetteli esimerkiksi Euroopan gdpr-tietosuoja-asetuksen astuessa voimaan viime vuonna. Facebook näki siinä tilaisuuden harhauttaa käyttäjät antamaan suostumuksensa kasvojentunnistukselle.
Näin rajoitat
Numerolla hakemista ei voi kokonaan estää, ja oletuksena se on sallittu kaikille. Jos sitä haluaa rajoittaa, säädöt on tehtävä itse.
Haun laajuutta voi rajoittaa, muta pois päältä sitä ei saa. Kuvakaappaus Facebookin asetuksista.
Haun saa rajattua vain ystäville Facebookin asetusten kautta. Paina Facebookin selainversiossa oikean yläkulman alaspäin osoittavaa nuolenpäätä, ja valitse Asetukset > Yksityisyys. Etsi kohta Kuka voi etsiä sinua käyttämällä antamaasi puhelinnumeroa. Paina Muokkaa ja valitse Kaverit.
Motherboard-lehden mukaan edes puhelinnumeron poistaminen kokonaan 2FA:n asetussivulla ei muuta mitään tietosuojasivulla viitaten siihen, että Facebookilla on edelleen numerosi kaikesta huolimatta.
Jopa Facebookin entinen turvallisuusjohtaja Alex Stamos on tilanteesta huolissaan.
– Facebook ei voi uskottavasti vaatia kaksivaiheista tunnistusta korkean riskin tileille erottamatta sitä hausta ja mainoksista, Stamos korosti Twitterissä.
Facebook antoi TechCrunchille lyhyen lausunnon 2FA:lle annettujen puhelinnumerojen käyttämisestä ihmisten hakemiseen. Facebook sanoi arvostavansa asetuksista saamaansa palautetta ja ottavansa sen huomioon.
Normaalisti lisäturvaa
IS Digitoday on jatkuvasti korostanut kaksivaiheisen suojauksen merkitystä tietoturvan parantajana. Kun hakkeri varastaa salasanasi, hän ei pääse kirjautumaan sillä verkkopalveluihin kirjoittamatta myös esimerkiksi puhelimeen saapuvaa turvakoodia.
Facebookin tapauksessa IS Digitoday ei voi tällä hetkellä suositella kaksivaiheisen tunnistuksen aktivoimista ainakaan puhelinnumeroa käyttämällä. Facebook mahdollistaa 2FA:n aktivoimisen nykyään myös ilman puhelinnumeroa.
