臉書Facebook承認使用者設定雙因素驗證(2FA)的電話號碼,被用來發送精準廣告

臉書再爆隱私爭議,坦承用雙因素驗證用戶的電話號碼發送廣告

在被媒體爆料後,臉書(Facebook)周四承認使用者設定雙因素驗證(2FA)的電話號碼,被用來發送精準廣告。

美國西北大學研究人員Giridhari Venkatadri、Alan Mislove和Piotr Sapiezynski連同普林斯頓大學的Elena Lucherini近日發表一份名為《調查臉書精準廣告中的可辨識身份資料來源》的報告,顯示其中包括使用者為設定2FA而輸入的電話號碼。而且即使不是用戶,或用戶未輸入電話號碼,只要其親友在使用臉書時,同意聯絡人資料分享給臉書,他們的資料也會被交給臉書(Gizmodo稱之為「影子資訊」shadow information),最終再提供給外部廣告主發送精準廣告,時間長達數個星期。

Gizmodo網站周四引述這份報告,並取得臉書回應。臉書發言人否認有此事,表示這個電話號碼只用於提供個人化的使用經驗。報導還指出,雖然歐洲較嚴格的隱私法規要求服務供應商告知用戶它持有何種個人資料,但在一名英國用戶要求臉書提供影子資訊時,臉書以這是機密演算法為由而拒絕。

顯然臉書並沒有說實話。Tom’s Hardware指出臉書非但隱瞞用戶不當分享個資給第三方的事,還公然對媒體說謊。

周四稍晚臉書向Techcrunch承認確有此事。臉書指出,「我們使用用戶提供的資訊來營造更佳、更個人化的體驗,包括廣告。我們也清楚告知我們蒐集資訊的方法,包括用戶上傳或加入到帳號內的聯絡資訊,而用戶也可以管理與隨時刪除這些資訊。」

臉書表示不想被廣告轟炸的用戶可以改用app式的2FA。這也說明了今年初有用戶申請2FA後,何以陸續接到臉書的垃圾簡訊,其中有人甚至幾個月都沒上過臉書。臉書5月終於做出改變,允許用戶使用第三方驗證程式,不再要求電話號碼。不過,這也表示在此之前臉書都是偷偷來,把用戶個資轉而分享給廣告商。

此外,臉書執行長祖克柏今年中到美國國會作證時也宣稱,臉書蒐集非用戶資訊,只是為了安全用途。諷刺的是,因應今年3月的劍橋分析(Cambridge Analytica)風波,臉書還大舉掃盪第三方app洩露用戶個資,並提供app濫用資訊的檢舉獎金。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Facebook 私下收集使用者兩步驟登入手機號碼,分析你是否為廣告投放目標,我們似乎又被出賣了

兩步驟登入(Two-Factor Authentication,2FA)是許多人用來保護自己的網路帳號不被盜用的安全手段,其中最常見的莫過於向網路服務提供商如 Facebook、Google 等,提供自己的手機號碼,在登入時接收簡訊驗證碼,多一道步驟進行身分認證。

整體而言非常安全的兩步驟登入,雖然確實是保護帳號安全的有效手段,但就是有人將賺錢的歪腦筋動到其上,這就是發展廣告業務不遺餘力的 Facebook。

根據國外媒體 Gizmodo 的報導,美國東北大學及普林斯頓大學組合而成的研究團隊,由於對 Facebook 如何達到精準的廣告投放,藉此將訊息推播至特定受眾非常感興趣,於是進行了一連串的行為研究,探討 Facebook 的廣告機制。

在他們近期提出的論文中,研究團隊發現,Facebook 除了會透過使用者主動登錄在網站中的個人訊息,藉此進行廣告受眾的過濾外,還會秘密收集一種被稱為「影子聯絡人資訊」(Shadow Contact)的資料,提升廣告主投放宣傳訊息的精準度。

研究團隊指出,即便使用者沒有在個人資料中主動提供手機號碼,僅為了安全性將手機註冊為兩步驟登入,或者接收登入警告之用,Facebook 還是會將該資訊用於精準廣告投放,並且得以讓廣告主藉此定位用戶長達數周。

當 Facebook 被問及是否真有此事時,該公司表示,他們使用人們提供的訊息來提供更加個人化的體驗,包含顯示更多的相關廣告;如果使用者對此有疑慮,可以改用不需要電話號碼的兩步驟登入方式。但是,Facebook 在四個月前才停止了強制登記用戶手機號碼用於兩步驟登入的政策,這段期間已經有不少的手機都已被綁定。

更讓人震驚的是,研究團隊還發現,Facebook 有能力藉由 A 使用者上傳的聯絡人資訊,去定位到 B 使用者,即便 B 從來沒有將該資訊主動登錄到 Facebook。造成這一切發生的,即是 Facebook 秘密收集的「影子聯絡人資訊」。

舉例來說,小明將自己手機中的聯絡人資料全都上傳到 Facebook,其中包含了小華一支未曾於網路上主動登錄的電話號碼,但 Facebook 卻能透過該號碼去連結到小華。

多年以來,Facebook 持續透過應用程式及用戶主動提供的資料,改善其廣告策略。但秘密收集「影子聯絡人資訊」,藉此加強廣告投放的精準度,雖然對於廣告主來說,其效果確實是令人驚嘆,不過對於使用者而言,未主動提供的資訊——尤其是出於帳號安全提供的手機號碼,卻被挪為廣告定位之用,是非常侵犯個人隱私的行為。

Facebook 對於用戶隱私權的維護,似乎沒有他們所宣稱的清楚、完善且美好。使用者看到的,反而是更多、更大的利益考量。

電子前哨基金會(EFF)強調,兩步驟認證本身並沒有錯,它仍是一種有效的安全保障,問題出在收集資料的公司本身。當你還對 Facebook 還抱持著信任,所以放心交出手機號碼,確保帳號自己不被盜用時,Facebook 後續的所作所為,很難不被視為對使用者的一種背叛。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏