Του Γιάννη Γορανίτη
Όχι ότι πέφτουμε από τα σύννεφα, αλλά μία νέα υπόθεση παραβίασης προσωπικών δεδομένων και μη αδειοδοτημένης χρήσης των στοιχείων μας από το Facebook, βγήκε πριν λίγες ημέρες στη δημοσιότητα. Εκατομμύρια χρήστες του κοινωνικού δικτύου, έλαβαν το τελευταίο τριήμερο μια ειδοποίηση που τους καλούσε να επανασυνδεθούν στον λογαριασμό τους.
H σωρεία αναφορών στα social media αλλά και σε πολλά ΜΜΕ ανάγκασε το Facebook να προχωρήσει σε επίσημη ανακοίνωση παραδοχής του συμβάντος, αναφέροντας ότι το κενό ασφαλείας εντοπίστηκε από τους μηχανικούς της εταιρείας και διορθώθηκε έγκαιρα. Το πρόβλημα όπως αναφέρουν εντοπίζεται στον κώδικα που αφορά στη λειτουργία 'View as…' («πώς εμφανίζεται το προφίλ μου στους άλλους χρήστες;»)
Οι ιθύνοντες της εταιρείας καθησυχάζουν τους χρήστες ότι το πρόβλημα είναι περιορισμένης έκτασης (ανέφεραν ότι έπληξε 90 εκατ. χρήστες, κάτι που όμως δύσκολα επαληθεύεται) και ότι δεν χρειάζεται καν να αλλάξουν τους κωδικούς πρόσβασης. Σύμφωνα με τη ανακοίνωση, προχώρησαν σε reset του κλειδιού πρόσβασης κάθε λογαριασμού (αυτό που διατηρεί τον χρήστη συνδεδεμένο ώστε να μην απαιτείται η εισαγωγή κωδικών ασφαλείας για κάθε νέα σύνδεση).
Διαρροή δεδομένων αντί για προστασία
Το νέο σκάνδαλο που απειλεί την ήδη τρωθείσα φήμη της πλατφόρμας δημοσιοποιήθηκε αμέσως μετά τη δημοσιογραφική και επιστημονική αποκάλυψη ότι το δημοφιλές κοινωνικό δίκτυο χρησιμοποιεί –προφανώς χωρίς άδεια– τους τηλεφωνικούς αριθμούς των χρηστών του προκειμένου να τους στοχεύει αποτελεσματικότερα με διαφημίσεις.
Τι το περίεργο, θα αναρωτηθείτε, αλλά σε αυτή την περίπτωση δεν αναφερόμαστε στους αριθμούς που προσθέτουν οικειοθελώς οι χρήστες στο δημόσιο προφίλ τους [αλήθεια, ποιος ο λόγος;], ούτε στον αριθμό που ορισμένοι χρησιμοποιούν αντί για email στην αρχική εγγραφή. Η νέα αποκάλυψη αφορά στους τηλεφωνικούς αριθμούς που παρέχονται από τους χρήστες αποκλειστικά για λόγους ασφαλείας και δη για «έλεγχο ταυτότητας».
Το Facebook, όπως και άλλα κοινωνικά δίκτυα και πολυάριθμες online υπηρεσίες ζητούσαν φορτικά από τους χρήστες να χρησιμοποιούν την επαλήθευση δύο παραγόντων (2FA - two factor authentication), προκειμένου να συνδέονται στον λογαριασμό τους. Να μη χρησιμοποιούν, δηλαδή, μόνο ένα email, αλλά να προσθέτουν ένα τηλεφωνικό αριθμό για να ειδοποιούνται σε περιπτώσεις παραβίασης ή να λαμβάνουν μηνύματα για εισόδους σε νέες συσκευές ή πλατφόρμες.
Το πρόβλημα είναι ότι το Facebook δεν χρησιμοποιούσε τους αριθμούς (μόνο) για να θωρακίζει την ασφάλεια των χρηστών, αλλά και για να τους βομβαρδίζει με στοχευμένα διαφημιστικά μηνύματα, τα οποία εκτός από τις προτιμήσεις τους βασίζονται και στην ακριβή γεωγραφική τους θέση.
Επαλήθευση δύο παραγόντων
Μη βιαστούμε να κατηγορήσουμε τον έλεγχο ταυτότητας δύο παραγόντων. Πρόκειται για μία από τις καλύτερες πρακτικές ασφαλείας που έχουν εφαρμοστεί και καλό είναι να συνεχίσουμε να τη χρησιμοποιούμε. Αρκεί να διασφαλιστεί ότι οι εταιρείες δεν θα χρησιμοποιούν τα δεδομένα μας για τους δικούς τους ιδιοτελείς σκοπούς.
Στην ίδια μελέτη αποκαλύπτεται επίσης ότι το Facebook επιτρέπει στους διαφημιστές να χρησιμοποιούν για αποτελεσματική στόχευση διαφημίσεων τα στοιχεία επικοινωνίας ακόμη και όσων δεν έχουν εισάγει αριθμό τηλεφώνου ή διεύθυνση ηλεκτρονικού ταχυδρομείου. Όπως φαίνεται, η συλλογή αυτών των δεδομένων γίνεται μέσω του ευρετηρίου επαφών κάποιου φίλου τους – ναι, αυτό που το Facebook μας ζητά κάθε τόσο να ανεβάσουμε για να «βρούμε νέους φίλους».
Σε αμφότερες τις περιπτώσεις, ο χρήστης δεν έχει τη δυνατότητα να ανακαλύψει (τουλάχιστον μέχρι νεωτέρας) αν το τηλέφωνο του έχει χρησιμοποιηθεί για διαφημιστικούς λόγους, ούτε βέβαια να διεκδικήσει κάποια αποζημίωση.
Ακαδημαϊκή αποκάλυψη
Η αν μη τι άλλο ανησυχητική διαπίστωση έγινε από ερευνητές δύο κορυφαίων αμερικανικών Πανεπιστημίων: τους Giridhari Venkatadri, Piotr Sapiezynski και Alan Mislove του Northeastern University και την Elena Lucherini του Princeton University. Οι ερευνητές δημιούργησαν δοκιμαστικούς λογαριασμούς και τους χρησιμοποίησαν συνδυαστικά με περισσότερους από 100 υπάρχοντες προκειμένου να αποδείξουν την υποψία πολλών.
Δοκιμάζοντας να στοχεύσουν συγκεκριμένους χρήστες μέσω του API που παρέχει η εταιρεία στους διαφημιζόμενους, διαπίστωσαν ότι το κατόρθωναν με πολύ υψηλά ποσοστά επιτυχίας. Η μεθοδολογία και τα συμπεράσματα της μελάτης δημοσιεύονται αναλυτικά εδώ.
Η στόχευση των χρηστών με τόσο μεγάλη ακρίβεια είναι, άλλωστε, ένα από τα βασικά ατού του Facebook στην προσπάθειά του να αποσπάσει ολοένα και μεγαλύτερο μερίδιο από την παγκόσμια διαφημιστική πίτα. Και όπως φαίνεται τα καταφέρνει, αφού εκτιμάται ότι αθροιστικά με τη Google αποσπούν το 80% της παγκόσμιας διαφήμισης. Όλες οι ενδείξεις όμως συγκλίνουν ότι χρησιμοποιούν και πολλά αθέμιτα μέσα και πρακτικές.
Ειδικά στη συγκεκριμένη περίπτωση, το Facebook φαίνεται ότι «πατάει» σε μια αμφιλεγόμενη διατύπωση στους όρους χρήσης του, όπου αναφέρεται ότι μπορεί να χρησιμοποιεί μια ποικιλία δυνητικών πηγών πληροφοριών, συμπεριλαμβανομένων και πηγών χωρίς εμπλοκή ή ρητή συναίνεση του χρήστη, προκειμένου να τους στοχεύει με αποτελεσματικότερες διαφημίσεις. Πουθενά στους όρους χρήσης, όμως, δεν αναφέρεται ότι ο χρήστης πρέπει να εξουσιοδοτεί το μέσο για την χρησιμοποίηση του τηλεφωνικού αριθμού του γι' αυτό τον σκοπό.
