Facebook usa telefone de autenticação em dois fatores para te incluir nas buscas
Muita gente descobriu, na semana passada, que o Facebook deixa como opção padrão a opção para que “Todos” possam procurar pelo seu perfil usando o número de celular oferecido para a autenticação de dois fatores (2FA). O método pode ser utilizado para direcionar anúncios e fica disfarçado como uma ferramenta de privacidade que não tem benefícios tão reais. Apesar disso, ainda há um jeito de se proteger.
Uma sequência de tuítes de Jeremy Budge do Emojipedia mostrou que nas configurações do Facebook, onde se controla quem pode procurar por sua conta usando o número de telefone que você ofereceu, não possui uma opção para sair completamente das buscas.
O objetivo da autenticação de dois fatores é dar aos usuários uma camada extra de proteção no login ao exigir que se adicione com código enviando via SMS ou aplicativo logo após inserir a senha. O Gizmodo noticiou em setembro que o Facebook também usa números de telefone para ajudar a direcionar publicidade e conectar usuários na função “pessoas que você talvez conheça”.
Como aponta o TechCrunch, o fato de o Facebook não oferecer opção para que alguém saia das buscas fizeram com que muita gente protestasse, incluindo o ex-chefe de segurança do Facebook, Alex Stamos.
For years Facebook claimed the adding a phone number for 2FA was only for security. Now it can be searched and there’s no way to disable that. pic.twitter.com/zpYhuwADMS
— Jeremy Burge ?? (@jeremyburge) 1 de março de 2019
Por anos o Facebook disse que adicionar o seu número de telefone para 2FA somente tinha propósitos de segurança. Agora seu número pode ser buscado e não tem nenhuma maneira de desativar isso.
Quando você coloca um número de telefone no Facebook, você tem a opção de escolher quem poderá ver esse número na página “sobre” do seu perfil. Você pode escolher “somente eu” e pensar que isso o esconde completamente e que será utilizado apenas para realizar logins em dois passos.
Mas dentro das configurações confusas do Facebook, existe uma outra caixa sob o menu “Configurações e ferramentas de privacidade“. Ali, existe a pergunta “Quem pode procurar você usando o número de telefone fornecido?” e não existe nenhuma opção para definir “Ninguém”. Por padrão, o ajuste está para “Todos”, o que permite que anunciantes subam suas próprias listas de e-mail para que o Facebook faça uma referência cruzada e direcione anúncios.
Um político pode fornecer uma lista de e-mails para o Facebook de pessoas com um mesmo perfil psicográfico para quem ele quer mostrar um anúncio em um produto da rede social ou em um dos anúncios da rede que estão espalhadas na web, por exemplo.
A configuração mais privativa que você pode escolher é permitir que “Amigos” procurem por seu perfil.
Somente no ano passado, o Facebook admitiu dois vazamentos de dados que afetaram mais de 137 milhões de pessoas. Seria possível pensar que o Facebook faria um esforço para criar ferramentas de privacidade úteis e não daria razões para que seus usuários as evitassem. Mas esse é o Facebook, e sempre parece haver um motivo para tentar lucrar posteriormente.
A ferramenta de autenticação em dois fatores também foi criticada em fevereiro, quando passou a enviar repetidas mensagens de texto spam para os usuários. A companhia disse posteriormente que isso foi causado por um “bug”. No último sábado (2), Stamos disse que essa situação faz com que o Facebook enfraqueça a segurança de sua própria ferramenta, tuitando:
É por isso que empresas de tecnologia precisam de alguém que lute por segurança como um objetivo de primeira classe em seus produtos, o que é uma função diferente de uma boa engenharia de segurança. O Facebook não pode exigir plausivelmente o uso de autenticação em dois fatores para contas de alto risco sem segmentar isso para buscas e anúncios.
Como ativar a autenticação em dois fatores no Facebook sem dar o seu número de telefone
O ponto principal aqui é que você definitivamente deveria usar autenticação em dois passos (ou dois fatores) em sua conta do Facebook e ter a possibilidade de remover seu telefone da jogada. Para fazer isso, você precisará baixar em seu smartphone um app de autenticação de terceiros, como o Google Authenticator (disponível para Android e iOS) ou o Duo Mobile (disponível para Android e iOS). Então, você deverá acessar esta página do Facebook e clicar no botão “Começar”. Escolha a opção “Aplicativo de autenticação” e clique em “Próximo”. Será preciso incluir um código em seu app de autenticação ou ler um QR Code. Isso irá ligar o app de autenticação ao Facebook. Agora, quando for necessário passar pela segunda etapa de login, você terá um código único e temporário criado pelo app.
Habilitar a autenticação em dois passos com um número de telefone é muito mais simples e intuitivo, mas um aplicativo de terceiro é o método mais seguro para se usar nessa situação. Isso fará com que você esteja menos aberto para anúncios estranhos e mais seguro contra golpes de SIM Swap.
Eu entendo que estamos sobrecarregados com serviços que não respeitam a privacidade, então se você quer continuar usando o seu número de telefone para 2FA, pelo menos vá até a página de preferências e ajuste as configurações de anúncios para impedir que seu número seja uma forma de direcionamento.
O Facebook tem grandes planos para integrar o Instagram, Messenger e WhatsApp em um futuro próximo, e é completamente possível que eles usariam o poder sobre bilhões de usuários para exigir um número de telefone que serviria como uma identidade única para essa megaplataforma.
Perguntamos ao Facebook se eles têm planos de fazer isso, mas a companhia não respondeu nenhuma das questões para esta matéria. Tudo o que sabemos é que quanto mais as pessoas mostrarem que não estão dispostas a ceder seus números de telefone para uma companhia que não inspira confiança, mais provável de o Facebook fazer a coisa certa.
[Jeremy Burge via TechCrunch]