A Facebook a telefonszámunkat is odaadja a hirdetőknek
Bár a Facebook rendszeresen csiszolgatja az adatvédelmi beállításait, és szereti azt kommunikálni, hogy azok egyre világosabbak és átláthatóbbak, illetve hogy minden felhasználó kedvére rendelkezhet a saját adataival, többször kiderült már, hogy a helyzet azért nem olyan egyszerű, és valójában nehéz tisztán látni, hogy ki és mikor férhet hozzá az adatainkhoz a közösségi oldalon keresztül – lényegében erről szólt a Cambridge Analytica-botrány Facebookot érintő része is.
Most a Northeastern és a Princeton Egyetem munkatársainak új kutatása [pdf] azt derítette ki, hogy a Facebook két eddig ismeretlen módon is a hirdetők rendelkezésére bocsátja a telefonszámunkat, hogy az alapján pontosan ránk lehessen célozni a nekünk szánt reklámokat – írja a Gizmodo.
- Egyrészt a Facebook azt a telefonszámot is átadja a hirdetőknek, amelyet kizárólag biztonsági okokból adtunk meg neki;
- Másrészt a számunk akkor is a hirdetőkhöz kerülhet, ha mi magunk nem adtuk meg, de valaki más a kontaktlistáján keresztül megosztotta a céggel
Itt az adat, hol az adat
Az önmagában nem újdonság, hogy a Facebookon emailcím vagy telefonszám alapján is lehet hirdetéseket targetálni. Egy üzlet például feltöltheti a már meglévő vásárlóitól begyűjtött adatokat, hogy aztán kifejezetten rájuk célozzon egy új termékről szóló reklámot; de akár egy politikus is elérheti a kampányhirdetéseivel a kifejezetten az őt támogatókat, ha korábban kapott tőlük elérhetőséget. A probléma ott kezdődik, hogy a Facebook nemcsak azokat az elérhetőségeket teszi elérhetővé a hirdetések célzására, amelyeket mi ilyen célra nekik vagy másnak megadtunk.
Az egyik ilyen eset, amikor a kéttényezős hitelesítéshez adja meg valaki a telefonszámát. Ez egyébként egy rendkívül fontos biztonsági funkció, segít megvédeni a felhasználói fiókokat a jelszólopásoktól, mi is mindenkinek javasoljuk, hogy kapcsolja be minden szolgáltatásnál, ahol elérhető. A lényege, hogy bejelentkezéskor, a jelszó beírása után kapunk egy kódot a telefonra, amit szintén meg kell adni, csak ezután lehetséges a belépés.
A kutatók viszont azt vették észre, hogy ha valaki kifejezetten csak erre a célra adta meg a Facebooknak a telefonszámát, az pár héten belül akkor is a hirdetőknél kötött ki – ami lehet, hogy nem szabálytalan, de etikusnak se éppen nevezhető.
A másik út, amelyen keresztül az akaratunk ellenére a hirdetőknél köthet ki a számunk, ha valaki mástól szerzik azt meg. Ha ugyanis a számunk benne van egy ismerős telefonkönyvében, aki aztán a teljes listát megosztja a Facebookkal, akkor a mi számunk is szépen bekerül az adatbázisukba, és már lehet is vele hirdetést célozni.
Ennek tesztelésében a Gizmodo segített is az egyik kutatónak, Alan Mislove-nak: sikerült egy hirdetést célozniuk rá azzal az irodai telefonszámával, amelyet ő maga soha nem adott meg a Facebooknak.
Mit lehet tenni? (Spoiler alert: nem sokat)
A Facebook a kutatók egyik észrevételét sem cáfolta, viszont szerintük nincs is a feltárt gyakorlattal semmi gond, hiszen leírják az adatkezelésükben, mit miért használnak fel, viszont látásra. Ugyanakkor ezeknek az információknak a felhasználása egyáltalán nem világos az elérhető leírásokból, és a Facebook – egyébként hasonlóan a többi hirdetésekből élő techcéghez – nem elég transzparens abban, hogy mi lesz a kerülőúton hozzájuk került adatokkal.
Az első esetet, vagyis a biztonsági okból megadott szám hirdetésre való felhasználását viszonylag egyszerű kivédeni. A kéttényezős hitelesítésnek ugyanis csak az egyik módja a telefonra sms-ben kapott kód. A másik, amely már a Facebooknál is elérhető, ha egy alkalmazás generál – internethasználat nélkül – egyszer használatos kódokat a mobilon. Erre már csak azért is célszerű váltani, mert a fentiektől függetlenül is sokkal biztonságosabb, mint az elég sebezhető sms-es változat.
A másik ügy problémásabb, mert nincs mód arra, hogy kivonjuk az ismerősünk kontaktlistájáról bekerült számunkat a hirdetési körforgásból. Méghozzá azért nincs, mert a Facebook szerint a személyes adatokat nagyon komolyan kell védeni, márpedig a kontaktlista személyes adat, így sajnálatos módon külső harmadik személynek nincs lehetőségük hozzáférést adni annak tartalmához – vagyis azért nem töröltethetjük a számunkat az adatbázisból, mert nem a miénk a lista, amelyről az oda bekerült.