兩步驟登入(Two-Factor Authentication,2FA)是許多人用來保護自己的網路帳號不被盜用的安全手段,其中最常見的莫過於向網路服務提供商如 Facebook、Google 等,提供自己的手機號碼,在登入時接收簡訊驗證碼,多一道步驟進行身分認證。
整體而言非常安全的兩步驟登入,雖然確實是保護帳號安全的有效手段,但就是有人將賺錢的歪腦筋動到其上,這就是發展廣告業務不遺餘力的 Facebook。
根據國外媒體 Gizmodo 的報導,美國東北大學及普林斯頓大學組合而成的研究團隊,由於對 Facebook 如何達到精準的廣告投放,藉此將訊息推播至特定受眾非常感興趣,於是進行了一連串的行為研究,探討 Facebook 的廣告機制。
在他們近期提出的論文中,研究團隊發現,Facebook 除了會透過使用者主動登錄在網站中的個人訊息,藉此進行廣告受眾的過濾外,還會秘密收集一種被稱為「影子聯絡人資訊」(Shadow Contact)的資料,提升廣告主投放宣傳訊息的精準度。
研究團隊指出,即便使用者沒有在個人資料中主動提供手機號碼,僅為了安全性將手機註冊為兩步驟登入,或者接收登入警告之用,Facebook 還是會將該資訊用於精準廣告投放,並且得以讓廣告主藉此定位用戶長達數周。
當 Facebook 被問及是否真有此事時,該公司表示,他們使用人們提供的訊息來提供更加個人化的體驗,包含顯示更多的相關廣告;如果使用者對此有疑慮,可以改用不需要電話號碼的兩步驟登入方式。但是,Facebook 在四個月前才停止了強制登記用戶手機號碼用於兩步驟登入的政策,這段期間已經有不少的手機都已被綁定。
更讓人震驚的是,研究團隊還發現,Facebook 有能力藉由 A 使用者上傳的聯絡人資訊,去定位到 B 使用者,即便 B 從來沒有將該資訊主動登錄到 Facebook。造成這一切發生的,即是 Facebook 秘密收集的「影子聯絡人資訊」。
舉例來說,小明將自己手機中的聯絡人資料全都上傳到 Facebook,其中包含了小華一支未曾於網路上主動登錄的電話號碼,但 Facebook 卻能透過該號碼去連結到小華。
多年以來,Facebook 持續透過應用程式及用戶主動提供的資料,改善其廣告策略。但秘密收集「影子聯絡人資訊」,藉此加強廣告投放的精準度,雖然對於廣告主來說,其效果確實是令人驚嘆,不過對於使用者而言,未主動提供的資訊——尤其是出於帳號安全提供的手機號碼,卻被挪為廣告定位之用,是非常侵犯個人隱私的行為。
Facebook 對於用戶隱私權的維護,似乎沒有他們所宣稱的清楚、完善且美好。使用者看到的,反而是更多、更大的利益考量。
電子前哨基金會(EFF)強調,兩步驟認證本身並沒有錯,它仍是一種有效的安全保障,問題出在收集資料的公司本身。當你還對 Facebook 還抱持著信任,所以放心交出手機號碼,確保帳號自己不被盜用時,Facebook 後續的所作所為,很難不被視為對使用者的一種背叛。
來源:Gizmodo、Techcrunch、EFF
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!