Facebook niby gwarantuje bezpieczeństwo za pomocą weryfikacji dwuetapowej, ale tylko na swoich warunkach

Facebook niby gwarantuje bezpieczeństwo za pomocą weryfikacji dwuetapowej, ale tylko na swoich warunkach

Weryfikacja dwuetapowa to znacznie skuteczniejsza metoda zabezpieczania ważnych kont w internecie niż pojedyncze hasło. Problem pojawia się w momencie, kiedy to weryfikacja dwuetapowa ma luki. Jeszcze gorzej jest, kiedy te luki są celowe i wykorzystywane przez używany przez nas serwis społecznościowy.

By skorzystać z podwójnego zabezpieczenia konta w Facebooku, w jednym ze scenariuszy należy podać swój numer telefonu komórkowego, na który wysyłany jest kod zabezpieczający przy okazji logowania się do serwisu z nowego urządzenia. Jeremy Burge, człowiek stojący za Emojipedia, zauważył jako pierwszy, że numer, który podał tylko do użytku weryfikacji dwuetapowej (2FA), jest…. powszechnie dostępny.

Facebook niby gwarantuje bezpieczeństwo za pomocą weryfikacji dwuetapowej, ale tylko na swoich warunkach

Facebook w ubiegłym roku przyznał, że używał numerów telefonów, wykorzystywanych w weryfikacji dwuetapowej, do ulepszania działania algorytmów reklamowych. Od tego czasu, regulamin Facebooka zawiera w sobie zapis, że numery te są używane do zabezpieczania konta oraz w innych celach”. Wychodzi więc na to, że jeśli włączyliśmy uwierzytelnianie dwuskładnikowe za pomocą numeru telefonu, to serwis może sobie zrobić sobie z nim co tylko mu się żywnie podoba.

Facebook niby gwarantuje bezpieczeństwo za pomocą weryfikacji dwuetapowej, ale tylko na swoich warunkach
„Srogie piguły, Sebastianie”

Wyszukiwanie nas po numerze telefonu da się ograniczyć, ale nie wyłączyć. W ustawieniach konta możemy zdecydować, czy nasi znajomi mogą nas w ten sposób namierzyć. I to jest maksymalny poziom bezpieczeństwa, do jakiego można dotrzeć – nasz numer i tak będzie dostępny dla tych z naszych znajomych, którzy (na przykład) zaimportują sobie kontakty z serwisu na telefon. Domyślnie jednak nasz numer jest widoczny – i to bez względu na to, czy ukrywamy go na głównej stronie naszego profilu, czy też nie.

Facebook niby gwarantuje bezpieczeństwo za pomocą weryfikacji dwuetapowej, ale tylko na swoich warunkach

Jeśli więc nie włączyliśmy weryfikacji dwuskładnikowej na Facebooku, a zamierzaliśmy to zrobić, to może lepiej będzie skorzystać z opcji oferującej otrzymanie kodu przez inną aplikację, zamiast hasła wysyłanego przez SMS. Przynajmniej w ten sposób nie pozostawimy zielonego światła Facebookowi na wykorzystanie naszego numeru… właściwie do wszystkiego.

 

źródło: TechCrunch przez 9to5google