Facebook używa Waszego numeru telefonu, chociaż nigdy mu go nie podaliście
Facebook zbiera o swoich użytkownikach tak wiele informacji na potrzeby reklamy, że nielicznym przyszło do głowy, iż do profilowania może posłużyć numer telefonu używany w uwierzytelnianiu dwuskładnikowym. A jednak.
Reklamodawcy, zamawiając reklamę na Facebooku, mogą wczytać listę numerów telefonicznych osób, do których chcą z reklamą dotrzeć. Okazuje się, że Facebook do targetowania reklam używa między innymi numerów telefonu, które podaliście tylko po to, by otrzymywać na nie kody autoryzujące logowanie. Ale to nie wszystko – do targetowania reklam używane są także numery Waszych telefonów, pobrane z książek adresowych osób, które się na to zgodziły i miały Wasz numer w spisie swoich znajomych.
Skuteczny eksperyment
Dziennikarka serwisu Gizmodo Kashmir Hill wspólnie z profesorem informatyki z Northeastern University w Bostonie Alanem Mislove postanowiła sprawdzić, czy Facebook faktycznie pozwala dotrzeć reklamodawcom do użytkowników, których dane zostały pozyskane w “mniej oczywisty sposób”. Mislove w swoich pracach badawczych skupia się głównie na badaniu prywatności portali społecznościowych, dlatego chciał przeprowadzić taki eksperyment, który udowodni, że Facebook wie na temat licznej grupy osób znacznie więcej, niż nam się to wydaje.
Autorzy eksperymentu za swój główny cel obrali “sprowokowanie” algorytmów do wyświetlenia określonej reklamy na koncie skojarzonym ze stacjonarnym numerem telefonu biura Mislove’a. Konto nie zostało połączone z numerem przez samego badacza, a jednak – ku zaskoczeniu Hill – w ciągu kilku godzin Mislove zobaczył na swoim profilu stargetowaną reklamę.
Grupa badaczy akademickich postanowiła przyjrzeć się bliżej tej sprawie, dogłębnie analizując problematykę pozyskiwania informacji przez Facebooka i targetowania reklam. Czworo naukowców: Giridhari Venkatadri, Piotr Sapieżyński i Alan Mislove z Northeastern University w Bostonie oraz Elena Lucherini z Uniwersytetu Princeton przeprowadzili serię badań, które polegały na przekazywaniu Facebookowi danych z testowych kont w celu sprawdzenia, czy informacje te mogą być wykorzystane przez potencjalnych reklamodawców.
Okazało się, że gdy użytkownik przekazuje Facebookowi swój numer telefonu na potrzeby uwierzytelnienia dwuskładnikowego lub w celu otrzymywania powiadomień o nowych logowaniach, po kilku tygodniach numer staje się “targetowalny” przez reklamodawców – innymi słowy, można go powiązać z konkretną osobą i np. historią zakupów online w zewnętrznym sklepie.
Niestety, jeśli użytkownicy chcą lepiej zabezpieczyć swoje konto w serwisie, są przez to zmuszeni do rezygnacji z części swojej prywatności, o którą tak wcześniej dbali. Zapytana przez Hill rzeczniczka Facebooka napisała w oświadczeniu wysłanym drogą mailową, że firma “wykorzystuje informacje dostarczone przez osoby, aby zaoferować bardziej spersonalizowane doświadczenie, w tym pokazywanie lepiej skrojonych pod użytkownika reklam”. Dodała przy tym, że jeśli ktoś czuje, że jest przez to pokrzywdzony, to może (od ok. 4 miesięcy) zmienić metodę uwierzytelniania na inną, która nie wykorzystuje numeru telefonu.
Jest jeszcze gorzej
Naukowcy odkryli również, że jeśli dany użytkownik – nazwijmy go X – podzieli się z Facebookiem swoją listą kontaktów, w której będzie nieznany serwisowi numer użytkownika – nazwijmy go Y – to reklamodawcy będą w stanie trafić ze spersonalizowaną pod ten numer telefonu reklamą. Warto przy tym odnotować, że użytkownik Y nie może uzyskać dostępu do swoich danych osobowych, ponieważ według Facebooka naruszyłoby to prywatność osoby X. Tym samym jesteśmy w sytuacji, w której nie mamy możliwości powstrzymania Facebooka przed wykorzystywaniem naszego numeru dla celów reklamowych.
Cytowany w artykule Gizmodo mieszkaniec Wielkiej Brytanii Rob Blackie próbował zmusić Facebooka do ujawnienia informacji, jakie zgromadził serwis na jego temat, jednak spotkał się z odmową, gdyż “jest to część tajnych algorytmów”, których portal nie może mu ujawnić.
W celu przetestowania, jak w rzeczywistości działa mechanizm targetowania z udziałem danych, naukowcy przeprowadzili badanie na własną rękę. Wysłali (w zasadzie udostępnili) Facebookowi listę setek numerów telefonów stacjonarnych, które były przypisane do Northeastern University. Prawdopodobieństwo, że ktoś świadomie dodał uniwersytecki numer telefonu do innego konta było niemal zerowe, natomiast było już bardziej prawdopodobne, że numery te znajdowały się w książkach kontaktowych innych osób. Tym sposobem właśnie Mislove otrzymał skierowaną do niego reklamę.
“Prawdopodobnie pokazała mu się reklama, ponieważ ktoś inny przesłał swoje dane kontaktowe, korzystając z funkcji importu kontaktów” – skomentował ujawnioną przez dziennikarkę Gizmodo sprawę rzecznik Facebooka. Firma nie podważyła jednak żadnych ustaleń dokonanych przez naukowców.
“Myślę, że wielu użytkowników nie rozumie do końca, jak działa obecnie targetowanie reklam; reklamodawcy mogą dosłownie określić, którzy użytkownicy powinni widzieć ich reklamy, wykorzystując do tego przesłane adresy e-mail, numery telefonów, imiona, daty urodzin etc.” – ocenia Mislove.
“Kiedy opisywałem tę pracę swoim kolegom, wielu informatyków było tym zaskoczonych, ale jeszcze bardziej byli zaskoczeni tym, że to nie tylko Facebook, ale także Google, Pinterest i Twitter oferują pokrewne rozwiązania” – dodał naukowiec.
Gdzie przynajmniej przejrzystość działania?
Według Mislove’a należy edukować ludzi na temat działania ukierunkowanych reklam na platformach społecznościowych. Naukowiec ocenia, że Facebook może wprowadzić do swoich usług więcej przejrzystości, np. informując użytkowników na temat tego, jakie dane z nimi powiązane posiada w swoich zasobach. Chodzi tu również o informacje na temat danych, które Facebook zbiera z różnych źródeł, jak i o cele ich gromadzenia i przetwarzania.
Jak zauważa Mislove, idealnym rozwiązaniem byłaby sytuacja, w której każdy użytkownik mógłby zobaczyć, jakimi danymi na ich temat dysponuje Facebook oraz mieć wybór względem tego, czy reklamodawcy mogą z danych o nim korzystać w celach profilowania przekazu. Facebook jednak nie ujawnia otwarcie, które z naszych danych kontaktowych wykorzystuje dla celów reklamowych, a przedstawia jedynie listę reklamodawców, którzy zamieszczają reklamy przy użyciu dodanej listy kontaktów.
Firma Marka Zuckerberga stoi na stanowisku, że ich użytkownicy mają dużą kontrolę nad tym, jakie informacje serwis przekazuje reklamodawcom. Nie jest to jednak do końca prawda. Kiedy nieco ponad rok temu autorka artykułu Gizmodo zapytała Facebooka o to, czy wykorzystuje on “dodatkowe informacje” na temat użytkowników dla celów reklamowych, przekazano jej wymijającą odpowiedź, która nie zawierała konkretnych informacji na temat tego, czy faktycznie takie dane są gromadzone do celów profilowania i na jaką skalę.
Wobec dowodów Facebook nie zaprzecza
Sprawą opisaną przez Hill zainteresował się również serwis Tech Crunch, który postanowił skontaktować się z Facebookiem i zapytać, czy faktycznie wykorzystuje on numer telefonu z uwierzytelniania dwuskładnikowego, aby w ten sposób dostarczać profilowane reklamy użytkownikom. W odpowiedzi rzecznik firmy poinformował, że Facebook “wykorzystuje informacje, które ludzie dostarczają, aby zaoferować lepsze, bardziej spersonalizowane doświadczenia, w tym reklamy”.
“Mamy świadomość, w jaki sposób wykorzystujemy zebrane przez nas informacje, w tym dane kontaktowe, które ludzie przesyłają lub dodają do swoich kont” – dodano.
Co ciekawe, jeszcze kilka miesięcy temu Facebook zapewniał, że spam, który otrzymali użytkownicy na konto korzystające z uwierzytelniania dwuskładnikowego, był błędem.
“Ostatnią rzeczą, jakiej chcielibyśmy, jest to, aby ludzie unikali używania pomocnych funkcji bezpieczeństwa, ponieważ będą się obawiali, że otrzymają niezwiązane (z tą usługą – red.) powiadomienia” – zapewniał wówczas w swoim wpisie były szef bezpieczeństwa Facebooka Alex Stamos.
W reakcji na słynną aferę Cambridge Analytica Facebook usunął funkcję, która umożliwiała użytkownikom znalezienie innych osób, używając do tego celu numeru telefonu komórkowego. Niestety reklamodawcy mogą nadal wykorzystywać numery telefonów do targetowania reklam. Nie wiemy również do końca, w jaki sposób Facebook zbiera informacje o użytkownikach, kojarzy informacje osobiste z kontami użytkowników oraz udostępnia informacje osobiste reklamodawcom poprzez grupy niestandardowych odbiorców.
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: WhatsApp – jak zadbać o bezpieczeństwo i prywatność
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
Zasada podawania tylko minimum danych i wręcz fikcyjnych, gdy nie da się danego pola pominąć, nadal działa.
znajomym też podajesz fikcyjny numer telefonu? ;-)
Znajomym nie, ale trafią się debile co podadzą 10 numerów żeby dostać jakąś durną poradę finansową.
No jak widać nie działa, skoro głupi ludzie uploadują kontakty do fejsbuka.
Taa, i później cyk, algorytm wykrywa fałszywe dane (bądź ktoś nam zgłasza fałszywe konto) i blokuje konto do momentu weryfikacji dokumentem tożsamości bądź zdjęciem twarzy…
Co to za czasy ze ludzie sie przejmują banem na gówno stronce jakiegoś korpo :/
Poza tym, dane nie muszą być prawdziwe by kogoś na ich podstawie profilować. A po drugie, zawsze można nowe konto sobie założyć.
Więc co za problem założyć kolejne lipne konto ?
Załóż więc sobie konto na fikcyjne dane, nie wypełniaj profilu, znajdź 2 kowalskich, poszperaj co mają na ścianie przez pół godziny i voila – wymuszenie podania telefonu do weryfikacji tożsamości – po podaniu pewnie każą jak zwykle przesłać skan dowodu. Niestety podania numeru nie da się pominąć. Testowane w godzinach o godzinie 0:30 i 2:30 – 2 razy z 2 przeglądarek i 2 różnych IP. Efekt ten sam. Nawet nie biorą pod uwagę, że ktoś może mieć komputer z mobilnym dostępem i nie mieć telefonu. Nawet konta nie da się w tej sytuacji zlikwidować.
cóż za zaskoczenie ;) hint: jeśli coś jest możliwe technicznie, prędzej czy później ktoś to zrobi
Dzieki za artykul.
A Ty nadal myślisz, że nie masz konta na fb, tylko dlatego że go nie zakładałeś ;)
Kiedy FB dostanie karę za nieprzestrzeganie RODO?
Jakim kanałem osoba, która osobiście nie zostawiła swojego numeru na FB (jak „Y” z powyższego artykułu) będzie otrzymywać takie reklamy? SMSem? Chyba nie mailem, zakładając oczywiście, że do FB za pośrednictwem innej osoby dotarł tylko nasz numer i nic więcej? Tak samo mnie zastanawia jak spersonalizowane reklamy trafiają na numer stacjonarny.
Czy posiadając już numer komórkowy osoby, która nie jest użytkownikiem FB, portal może w jakiś sposób „absorbować” nowe dane powiązane z tym numerem w celu stworzenia kompletniejszego profilu?
>będzie otrzymywać takie reklamy? SMSem?
będziesz je widzieć na stronach które odwiedzasz na przykład wp.pl wykop.pl
>Czy posiadając już numer komórkowy osoby, która nie jest użytkownikiem FB, portal może w jakiś sposób „absorbować” nowe dane powiązane z tym numerem w celu stworzenia kompletniejszego profilu?
oczywiście, na prawie każdej stronie którą odwiedzasz są odnośniki do zewnętrznych trackerów które mają za zadanie powiązać przeglądane strony i zainteresowania z konkretną osobą
OK, dzięki za odpowiedź. Czy ghostery cokolwiek da? :) Albo adblock? Mogą sobie tworzyć reklamę, ja jej i tak nie widzę…
Wystarczy, że oni widzą Ciebie ;q
Szczegolnie w usa gdzie urzadzenia apple gdzie amerykanin musi miec konto w icloud lub apple id totalna inwigilacja 6.0
Z punktu widzenia twórcy aplikacji – sklep Play daje deweloperowi mnóstwo danych o osobach, które pobrały jego aplikację, AppStore daje tylko bardzo ogólne statystyki.
Z punktu widzenia reklamodawcy – Google AdSense zbiera tak chore ilości informacji, że Apple iAd, które tych danych nie przekazuje reklamodawcom okazało się totalną klapą mimo technologicznej wyższości nad AdSense.
Więc (nie zaczyna się zdania od więc) w kontekście dyskusji o prywatności, Apple nie jest dobrym przykładem. Oczywiście jestem przekonany że zbierają idiotyczne ilości informacji o swoich użytkownikach, jednak firma zarabia na sprzedaży swoich urządzeń a nie danych swoich klientów, co można zresztą zobaczyć w sprawozdaniach finansowych.
Zarabiają również na handlu danymi, ale tych zarobków nie podają w sposób oczywisty tylko jako przychody „Inne”
„nielicznym przyszło do głowy, iż do profilowania może posłużyć numer telefonu używany w uwierzytelnianiu dwuskładnikowym.” – az sie zasmialem. Wasza naiwnosc czsami powala.
Przeciez to JEDYNY powod dla ktorego wprowadzono to inwigilacyjne g…! Jedyny! Chodzi o polaczenie telefony z uzytkownikiem. Stad nastemnym krokiem eSIM. Wszystko inne to brednie.
Przecież FB już od dawna ma numery osób, które nie mają tam konta dzięki Whatsappowi…to trzeba się aż do takich sztuczek uciekać?
Odkrycie roku.
A w czym macie problem ja od paru lat jestem szczęśliwym nieposiadaczem facebooka
Tak Ci się tylko wydaje. Twój znajomy/znajoma udostępniła kontakty dla FB i już mają Twój numer tel.
A ja wciąż nie wiem jak się nazywa facet ktory mi się spodobał. Bo nie mogę dotrzeć mimo 21 wieku. Mam tylko jego numer telefonu .wiem też że urodził się 3.03 i ma na imię Przemek.
Mam propozycję: Zadzwoń do niego.
Jeśli nie masz w planie szpiegowania go to to najlepszy sposób.
Ale zaskoczenie… Przecież wszystkie firmy tak robią, banki również. Znajoma po latach korzystania w mBank ze zdrapki podała swój nr (nie podany wcześniej w danych konta) tylko do obsługi kodów SMS do przelewów – już po paru dniach zaczął dzwonić telefon z reklamami usług banku, od zewnętrznej firmy. Nie pomogło nawet to, że w ustawieniach konta był od zawsze zaznaczony brak zgody na treści marketingowe.
Dzięki za artykuł kochane z3s.
No i co z tego ? czy to naprawdę taki problem znać kogoś numer tel ? kiedyś była książka telefoniczna i nie było problemu.
Kiedyś nie było też profilowania i inwigilacji elektronicznej.
To teraz sprawdźcie jak telefony wymuszają od ludzi. Utwórzcie świerze konto z realnie brzmiącym imieniemi i nazwiskiem. Mastępnie wybierzcie 2 osoby (2 konta), które możecie oglądać i zacznijcie przeglądać ich posty na linii czasu wstecz 6 miesięcy.
Nagle… Uwierzytelnij swoje konto, potem rozwiąz Captcha i następnie przymusowo podaj numer telefonu. Nawet zgodnie z RODO wtedy konta nie usuniesz.
Przyjrzycie się temu? Bo prawda jest taka, że są nahalni na numery telefonu jak mało kto.
aha – przeglądać wystarczy pół godziny cudzy profil tuż po zalogowaniu by ten monit o obowiązkowe podanie telefonu się pojawił. I nie wiadomo co potem bo nie podałam numeru.