Weryfikacja dwuetapowa to znacznie skuteczniejsza metoda zabezpieczania ważnych kont w internecie niż pojedyncze hasło. Problem pojawia się w momencie, kiedy to weryfikacja dwuetapowa ma luki. Jeszcze gorzej jest, kiedy te luki są celowe i wykorzystywane przez używany przez nas serwis społecznościowy.
By skorzystać z podwójnego zabezpieczenia konta w Facebooku, w jednym ze scenariuszy należy podać swój numer telefonu komórkowego, na który wysyłany jest kod zabezpieczający przy okazji logowania się do serwisu z nowego urządzenia. Jeremy Burge, człowiek stojący za Emojipedia, zauważył jako pierwszy, że numer, który podał tylko do użytku weryfikacji dwuetapowej (2FA), jest…. powszechnie dostępny.
Facebook w ubiegłym roku przyznał, że używał numerów telefonów, wykorzystywanych w weryfikacji dwuetapowej, do ulepszania działania algorytmów reklamowych. Od tego czasu, regulamin Facebooka zawiera w sobie zapis, że numery te są używane „do zabezpieczania konta oraz w innych celach”. Wychodzi więc na to, że jeśli włączyliśmy uwierzytelnianie dwuskładnikowe za pomocą numeru telefonu, to serwis może sobie zrobić sobie z nim co tylko mu się żywnie podoba.
Wyszukiwanie nas po numerze telefonu da się ograniczyć, ale nie wyłączyć. W ustawieniach konta możemy zdecydować, czy nasi znajomi mogą nas w ten sposób namierzyć. I to jest maksymalny poziom bezpieczeństwa, do jakiego można dotrzeć – nasz numer i tak będzie dostępny dla tych z naszych znajomych, którzy (na przykład) zaimportują sobie kontakty z serwisu na telefon. Domyślnie jednak nasz numer jest widoczny – i to bez względu na to, czy ukrywamy go na głównej stronie naszego profilu, czy też nie.
Jeśli więc nie włączyliśmy weryfikacji dwuskładnikowej na Facebooku, a zamierzaliśmy to zrobić, to może lepiej będzie skorzystać z opcji oferującej otrzymanie kodu przez inną aplikację, zamiast hasła wysyłanego przez SMS. Przynajmniej w ten sposób nie pozostawimy zielonego światła Facebookowi na wykorzystanie naszego numeru… właściwie do wszystkiego.
źródło: TechCrunch przez 9to5google