Телефон нөміріңіздің неге керек екенін Facebook түсіндіруге тиіс

«Екіфакторлы аутентификация (2FA) үшін» деген желеумен (қолданушылардың көпшілігі осылай ойламасқа амалы қалмады) қолданушыларының телефон нөмірлерін жинаған Facebook әуел бастан ол байланыстарды мақсатты жарнамалар аудиториясын оңай табуы үшін пайдаланған. Бұл ақпаратқа өзгелермен бірге PI да қатты алаңдады.

Facebook-ті қолданушыларға мақсатты жарнаманы көрсетудің көптеген жолының бірі – «қолданушың аудиториясы» деп аталатын параметрді пайдалану. «Қолданушы аудиториясында» телефон нөмір мен электронды пошта адресі көрсетілген байланыс мәліметтері жинақталады. Жарнама берушілер осы мәліметтерді пайдаланады. Мақсатты жарнаманы өткізу үшін Facebook байланыс ақпараттары сақталған «қолданушы аудиториясын» өздерінде бар мәліметтермен толықтырады.

Facebook, тіпті қолданушыларының өзге мақсатта ұсынған байланыс телефондары мен қауіпсіздік мақсатында көрсеткен байланыс телефондарын мидай араластырып жіберген сәттер де көп. 2018 жылдың басында жарық көрген, «Facebook-тегі мақсатты жарнамада қолданған мәліметтердің түп-тамырын зерттеу» деп аталатын мақалада зерттеушілер Гиридхар Венкатадри, Елена Лучерини, Петр Сапезински және Алан Мислов: «Қолданушылардың қауіпсіздік сақтау мақсатында қалдырған байланыс ақпараттарын (яғни телефон нөмірлерін) Facebook  жарнама берушілерге таратқан», – деп мәлімдеді.

Қолданушылар қалдырған телефон нөмірлерін пайдаланудың тәртібі мен саясатын түсіндіруін сұрап, Facebook-тің негізін қалағандармен хабарласып көрдік. Ол пікірлерді осы поста мәтін арасында пайдаланып отырмыз.

Бұл жағдайға неге алаңдаймыз?

Қолданушылар құпиясөз туралы көп біле бермейді. Сондықтан бейберекет құпиясөздер жасаудың бірнеше мысалдарына куәміз. XKCD былай дейді:

20 жыл ішінде құпиясөзді қолдануды үйрендік. Алайда оны өзіміз тез ұмытып қала береміз, бірақ компьютерлер құпиясөзімізді бірден тауып алады.

Бір немесе екі құпиясөз ойлап табамыз[1], ол құпиясөздер түрлі уеб-сайттар талап ететін «қауіпсіздікті» сақтайды. Сондықтан ол құпиясөзді «сенімді» деп санаймыз.

Өкінішке қарай, бірнеше мәрте қолданатын және жылдар бойы өзгертпейтін мұндай «сенімді» құпияссөздерді тауып алу оңайлайды, сақтаулы тұрған жеке мәліметтеріміздің қара базарларда саудаға түсуіне жол ашады. Қарау ойлы жандар да өзгертпейтін құпиясөздерімізді оп-оңай ашып, жеке мәліметтерімізге жылдам қол жеткізеді. [Назар аударыңыз: HaveIBeenPwned жедел тексеру қызметі сіздің аккаунтыңыздағы мәліметтерге оңай қол жеткізуге болатынын не болмайтынын  анықтауға мүмкіндік береді].

Аккаунтыңызды растаған кезде атыңыз бен құпиясөзіңізге («бірфакторлы аутентификация») де қауіп төнеді. Әдетте аккаунтыңызды қалай растайсыз: электронды пошта[2] арқылы, онлайн-банкинг арқылы, өзге де әлеуметтік желілердегі аккаунтың арқылы және т.б.

 Көпфакторлы аутентификация

Құпиясөзді жақсы сақтауда көпфакторлы аутентификация кең танымал.

Көпфакторлы аутентификация – әдетте екіфакторлы аутентификация (2FA) ретінде белгілі. Негізінде оны қолданатындар «мен бірдеңе білемін» және «менде бірдеңе бар, тек қана менде бар» деген пікірді ұстанады. Екі факторлы аутентификацияда құпиясөзіңізді сақтаймын деп іске кірістіңіз делік. Бір реттік қолданыстағы құпиясөзді жазу үшін сізге не SMS арқылы, не қосымша арқылы, не аппаратты кілт арқылы жұмыс істеуіңізге тура келеді.

Екінші фактордың әсері қандай? Егер әлдекім екінші факторлы аутентификация арқылы аккаунтын қауіпсіз қылып алса, оның құпиясөзін білсеңіз де, аккаунтын аша алмайсыз.

Аутентификацияның қосымша қадамына көшкен кім-кім де, аккаунтын, айналысатын қызметін, тіпті банк операцияларын 2FA арқылы жүзеге асыратынын аңғарасыз.

Енді мына жайтты есте ұстаңыз. 2FA-ны ұсынатын көптеген онлайн-компаниялар (олар аз емес –TwoFactorAuth деп аталатын керемет ресурсқа кіріп көріңіз), әдетте өздерінің негізгі, кейде эксклюзивті  аутентификацияның екінші факторы үшін SMS-ті пайдаланады. Мысалы, Twitter және  Facebook (күні кешеге дейін)… Олар, әрине, жоғарыда аталған SMS-хабарламаларды жіберу үшін телефон нөміріңізді тіркеуді талап етеді.

Facebook-тің қауіпсіздік жөніндегі (бұрынғы) бас маманы  2FA-ның «аккаунтты өзге біреудің бұзып кіруінен қорғауға көмектесетін, фишинг қаупін азайтатын маңызы зор қызмет» екенін мойындайды. Ол сондай-ақ «пайдалы қорғау қызметінен адамдардың қашқақтағанын қаламаймыз …» деп, 2018 жылы адамдар  екіфакторлы аутентификацияны қолдану үшін аккаунтының қорғалуына қатысы жоқ SMS-тер телефон нөмірлеріне келе бастағанда шұғыл шаралар қолданды.

Сонымен, 2FA қолданудың маңызына тоқталайық. «Ондай қадамға бармадық» деп бас тартқандарына қарамастан,  мақсатты жарнама үшін тіркелушілерінің 2FA мәліметтерін пайдаланған Facebook компаниясы өз қолданушыларының сеніміне селкеу түсірді ме?

#Күрделі

Facebook-тің негізін қалаушыларға «Қолданушылар қауіпсіздікті сақтау үшін көрсеткен телефон нөмірлері іздеу қызметінде көрініп тұра ма?» деп басталатын қарапайым сауалдар тастадық.

Facebook-тің негізін қалаушылармен әңгімелесіп, бес бірдей қорытындыға (аздап шиеленіскен) келдік.

1. Телефон нөмірі ≠ тек 2FA … қалай болғанда да, соңғы уақытқа дейін осылай еді.

Қандай да бір желіге тіркелгенде телефон нөмірімді қауіпсіздік мақсатында ғана көрсеттім деп ойласаңыз, қатты қаталесесіз.

«Қазіргі таңда қауіпсіздік үшін арнайы телефон нөмірін көрсету қызметі жоқ» деген Facebook-тің негізін қалаушылар бізге жауап бергенде әрбір сөзіне абай болды. Оған қоса Facebook-тегі өз аккаунтында телефон нөмірін SMS арқылы алдын ала тіркемей, 2FA қоса алмайтынын да айтты.

Иә, дұрыс байқадыңыз, жауап бір-біріне қабыспайды – аккаунтта телефон нөмірін көрсетудің екі бөлек жолы бар екен.

және

Телефон нөмірін қалай қосатыныңызға қармастан, соңғы қадам біреу ғана – Facebook «күні кешеге дейін» телефон нөмірлерін көрсетудің жолын бөліп-жармай келген еді.

«Қолданушы Facebook  аккаунтына өз телефон нөмірін тіркеп, кейін сол телефон нөмірін екіфакторлы аутентификацияны қосу үшін пайдаланамын деп шешсе, Facebook-тің мәліметтерді өңдеу саясатына сәйкес, бұл нөмір қандай да бір өнімді көпшілікке ұсыну, мақсатты жарнама көрсету секілді мақсаттар аясында пайдаланылуы мүмкін».

Профиліне телефон нөмірін қосқан өз қолданушысына Facebook осы мәселелер жайында ескертпегенімен қоймай, «барлығы үшін» деген қызмет туралы да үнсіз қалғанды жөн санаған. Ендеше біз ескертейік, мәліметтеріңізді көрсетіп қоюыңызға болатын шағын аудитория – «барлығы үшін» емес, «достар» деп аталады.

2. 2FA үшін телефон нөміріңізді 2019 жылдың сәуір айына дейін енгізсеңіз, демек ол нөміріңізді мақсатты жарнамада пайдаланған шығар.

Facebook-тегі аккаунтыңызға телефон нөміріңізді көрсетсеңіз, онда:

– Facebook-ті қолдану шарттарына сай нөміріңізді мақсатты жарнаманы ұсыну үшін пайдалануы мүмкін;

– 2018 жылдың сәуір айына дейін сіздің телефон нөміріңізді Facebook-тің іздеу қызметі арқылы бірден тауып алуға болатын еді.

2019 жылдың сәуір айындағы кері байланыстың нәтижесінде Facebook  басшылығы өз ұстанымын қайта қарады. Енді қолданушылар енгізген жаңа телефон нөмірлерін екіфакторлы аутентификация баптаулары арқылы мәліметтер жинау, жарнама көрсету, Facebook өнімдерін жақсарту мен дербестендіру үшін қолданбайтын болды.

Бұл өзгеріс 2019 жылдың сәуір айындағы таргетиңде сол уақытқа дейін көрсетіліп қойған телефон нөмірлеріне қатысты ма, жоқ па – белгісіз.

3. «Мені кім таба алады?»– сіздің ойлағаныңыздан да көп адам!

«Мені кім таба алады?» параметрі көп жылдан бері жұмыс істеп келеді. 2018 жылдың сәуір айында (2FA-ның мәліметтерді теріс пайдалануы туралы БАҚ хабарламаларынан соң)  Facebook «кез келген профильді іздеген кезде көмекке келетін, өзіңіз көрсетіп қойған электронды пошта адресі немесе телефон нөмірін көру мүмкіндігін өшіріп тастады». Алайда бұл мәліметтерді «басқа жолдар арқылы бұрынғыдай әр кім де пайдасына жарата береді».

«Басқа жолдар» дегенде қандай жолды назарға алып тұр? Әңгіме Facebook-тегі контактілер тізімін жүктеп алу жолы туралы сияқты. Яғни контактіңіз телефонында не электронды адресінде сақталған адамдар сізді Facebook-те оңай тауып алатыны айдан анық.

Қазіргі таңда «Мені кім таба алады?» параметрі Facebook-ке енгізген барлық телефон нөмірлеріне қатысты қолданылатынын және «барлығы» параметрі туралы үнсіз қалғанын Facebook  басшылығы мойындап қойғаны да бізді алаңдатады.  Одан өзге, «Барлығы үшін» қызметін «Достар» деп аталатын параметрге өзіңіз де өзгерте аласыз. Ол аудиторияның шағындау ауқымы дер едік. Біз «Достар» параметрі автоматты тұруы керек және Facebook  аудитория ауқымын одан әрі тарылту үшін «мен ғана» параметрін енгізгені жөн деп есептейміз.

4. Facebook-тегі адамдардың жалпыға қолжетімді профилін телефон нөмірінің көмегімен өшіріп тастауға болады.

Телефон нөмірлерін қолдану саясаты туралы сауалдарымызға жауап берген Facebook  басшылығы 2018 жылдың сәуір айында жариялаған постқа сілтеме жасады.

«Аккаунтты іздеу мен қайта қалпына келтіру. Қазіргі таңға дейін өзге адамның телефон нөмірі мен электронды поштасын Facebook-тің іздеу қызметіне енгізу арқылы, сол аккаунтты тауып алатын еді. Бұл, әсіресе адамның өзге тілдегі есімін енгізу қиындық тудырғанда немесе бір атты иеленген көп адамның ішінен саған керегін тауып алу үшін ыңғайлы болатын. Мәселен, Бангладеште бұл функция іздеу қызметінің 7%-ын құраған. Одан өзге, қайта қалпына келтіру және іздеу қызметі арқылы қаскүнемдер телефон нөмірлері мен электронды пошталарды қолдана отырып, өзгелердің аккаунтын тауып алады да,  жалпыға қолжетімді профильдегі ақпараттарды өшіре салуына болады.  Белсенділігіміздің ауқымы мен жылдамдығына орай, Facebook-тегі көптеген адамның жалпыға қолжетімді профилі осындай жолмен өшіп кетуі мүмкін. Сондықтан қазір ол қызметті өшіріп қойдық. Өшіріп тастау қаупін азайту мақсатында аккаунтты қайта қалпына келтіру қызметіне де өзгерістер енгізетін боламыз».

     5. Тек жаңа клиенттер

Facebook басшылығы «кері байланысқа жауап ретінде», қолданушылар қазір Facebook акаунтына жаңа телефон нөмірін қосу үшін 2FA қауіпсіздік баптаулары арқылы тікелей қоса алады деп сендірді:

– Телефонның бұл параметрі іздеу жүйесінде ендігі қолжетімді емес және жарнама берушілерге арналмаған (яғни «қолданушылар аудиториясындағы» мәліметтеріңізді ешкімге айтып қоймайды);

– Телефонның нөмірін көрсету үшін «тек қана маған» қызметі іске қосылған (яғни, профиліңіздің нақты кімдерге көрінетінін өзіңіз анықтайсыз);

– «Мені кім таба алады» параметрі «барлығы үшін» қызметіне де қатысты (Facebook-ке енгізілген барлық телефон нөмірлеріне бірдей қолданылады).

Жаңа телефон нөмірін қосқаныңызбен, «екіфакторлы аутентификация ағыны» арқылы емес,  «телефон нөмірлері» ағыны арқылы тіркеуден өтсеңіз, одан кейін ғана 2FA қосылуы үшін сол нөмірді пайдаламын деп шешсеңіз, онда:

– Facebook-тің  мәліметтер Саясаты және телефон нөмірлері ағынында көрсетілген ұстанымы бойынша ол нөмірді өзге мақсатта пайдалануы мүмкін. Яғни өнімдерді ұсыну мен жарнама мақсатында қолданады;

– Нөмір шағын аудиторияға – «достарға» қолжетімді. Сондықтан аккаунтты Facebook-тің іздеу қызметі арқылы ғана тауып аласыз.

Түсініксіз не қалды?

Facebook  өз қолданушыларынан мобильді телефон нөмірлерін қай уақыттан бері сұрағанын; ал пайдаланушылардың қаншасы өз телефон нөмірлерін қашан қалдырғанын да анық білмейміз. Біз тіпті әрбір қолданушы неліктен және қашан өз мобильді телефон нөмірлерін жүктегені туралы, қанша қолданушының бұл қадам 2FA үшін ғана деп ойлағанын және неліктен ол ойға сенгенін анықтау үшін сауалнама да жүргізе алмаймыз.

Не десек те адамдардың көбі телефонын қауіпсіздікті сақтау мақсатында енгізгені анық. Алайда нөмірлерді біліп алған өзге компаниялар қолданушылар туралы мәліметтер негізінде таргетиң жарнамаларын жібере бастады.

Ары қарай не істейміз?

Facebook  басшылығы бұл мәселеге қатты алаңдап, жағдайды өзгерткені жақсы болды деп есептейміз. Тіпті бұл қадамына қуана қарадық, алайда «Мені кім таба алады?» баптауында «Барлығы» деген бөлім туралы үнсіз қалғаны қаупімізді сейілтер емес.

Телефон нөмірлері бойынша аккаунт иесін іздеуге мүмкіндік беру қолданушылардың екіфокторлы аутентификацияға сенімін жоғалтады. Ал ол қауіпсіздіктің ең маңызды функциясы. Телефон нөмірлері арқылы аккаунттарын табу оңай болатынын білмейтін қолданушылардың қауіпсіздігі қорғалмайды. Бұл, әсіресе Facebook-ті қызметін ұйымдастыру мен қарым-қатынас үшін пайдаланатын және өзінің қауіпсіздігін қорғауға мұқтаж белсенділер, диссиденттер, қауымдастықтар үшін айырықша маңызды.

Аккаунтыңызды қалай тексеруге болады?

Баптаулар бөліміне өтіңіз >Құпиялылық> Адамдар сізді қалай тауып, байланыса алады?

«Көрсеткен нөміріңіз бойынша сізді кім таба алады?» деген жазбадан соң ашылған тізімдегі «Барлығы» немесе

«Достардың достары» деген бөлімге емес, «Достар» деген бөлімге жалауша қойыңыз. Facebook-те «Барлығы» деген параметр барын ұмытпаңыз.

[1] Тауып көрейін бе?.. Құпиясөзіңіз 8 символдан тұрады және Бас әріптен басталып, «1» санымен аяқталады. Таптым ба?

[2] Электронды поштаңыз – тіркеу мәліметіңіздің алтын қоймасы. Себебі дәл сол жерге өзге тіркеу жазбаларыңыздың құпиясөздерін жасырып қоясыз ғой!

Материалдың түпнұсқасын мына сілтеме арқылы оқи аласыздар.