Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Этот Фейс – такая бука!

 

Задумывались ли вы когда-нибудь, почему Фейсбук предлагает вам подружиться с людьми, с которыми вас не связывают общие друзья ни в одной социальной сети?

 

Интересные детали о механизме таргетированной (целевой) и контекстной рекламы в Facebook (ака ФБ) выяснили исследователи из Бостонского и Принстонского университетов. Как выяснилось, рекламные агентства способны доставить персонализированную рекламу конкретному пользователю сети Facebook, используя его контактные данные, даже если он и не размещал их в своем профиле. Соцсеть позволяет рекламодателям добираться до пользователей по контактной информации, собранной весьма сомнительными способами. 

Эксперты провели тесты, в которых для группы тестовых учетных записей в ФБ различными способами передавались выдуманные контактные и персональные данные, и затем отслеживали, стала ли эта информация доступной для рекламодателей, и как именно эта информация ими использовалась, путем анализа статистики о размере аудитории, предоставленной рекламным кабинетом соцсети.

Одним из многих способов, который позволяет доставить рекламу на вашу страничку в Facebook и Instagram, является возможность рекламодателей загружать списки телефонных номеров или адресов электронной почты в виде файла. Затем алгоритмы рекламного кабинета Facebook сопоставляют контактные данные из загруженных списков с учетными записями пользователей, связанными с этой контактной информацией. Продавец одежды может разместить свою рекламу в ленте Instagram у женщин, которые уже купили у него что-то раньше, а разработчик видеоигр может делать выгодные предложения,  располагая адресами электронной почты людей, предположительно зависимых от игр. ФБ именует это «настраиваемой аудиторией».

Само собой ФБ для рекламного таргетинга использует всю информацию, которую вы сами добровольно предоставили, в том числе все контактные и персональные данные из раздела "контакты и основная информация". Но это всего лишь видимый «стартовый пакет» тех знаний, что рекламодатели могут использовать для «охоты» на вас.

Для продажи рекламных показов ФБ не ограничивается только добровольно предоставленными сведениями из профилей, но также использует контактную информацию, которую пользователи передают исключительно для целей обеспечения безопасности учетной записи, и информацию, которую они вообще не передавали. Такая информация, к примеру, извлекается из списков контактов других людей. На основе этих данных формируется скрытый от невооруженного взгляда «цифровой след» каждого пользователя социальной сети. Такой след эксперты по безопасности назвали «теневым профилем» (Shadow Profile) пользователя. 

ФБ использует информацию, которую пользователь оставляет во время двухфакторной аутентификации (двухфакторная аутентификация — это протокол безопасности, предоставляющий доступ к аккаунту по предъявлению двух доказательств аутентификации, например, пароля от аккаунта и одноразового кода из SMS-сообщения). В данном случае пользователь вынужденно оставляет номер своего мобильного телефона. Эксперименты доказали, что Facebook сохраняет эти данные и через посредников продает рекламщикам, которые, в свою очередь, строят на этом таргетинг рекламных публикаций.

Несмотря на то, что еще в 2016 года ФБ уличили в создании и использовании «теневых профилей», причем не только для своих пользователей, но и для незарегистрированных и неавторизованных посетителей ресурсов как самого Фейсбука, так и сайтов с установленными скриптами от социальной сети (кнопка «лайк», рекламные модули, и т.д.). в апреле 2018 на слушаниях в Конгрессе США глава ФБ Марк Цукерберг сообщил, что не располагает информацией об использовании его компанией технологии «теневых профилей». Однако результаты упомянутых выше экспериментов подтверждают факт существования этой сомнительной и агрессивной практики сбора информации американской соцсетью.

В итоге ваши самые интимные секреты могут оказаться тайнами для кого угодно, но только не для рекламодателей в Facebook. И что гораздо хуже - «теневым профилем» могут воспользоваться злоумышленники для атаки на вас.

Как бороться со слежкой со стороны Facebook?

Способ 1. Радикальный. 

Удалить все свои контактные и персональные данные из аккаунтов социальной сети.

Удалить все аккаунты в социальной сети Facebook.

Удалить все приложения с мобильных устройств, имеющих отношение к Facebook.

Установить тотальную блокировку любых скриптов с адресов социальной сети Facebook во всех браузерах, в том числе мобильных.

Ну и конечно, не забывать о традиционных блокировщиках рекламы.

Способ 2. Компромиссный.

Если нет возможности (или желания) отказаться от аккаунта в Facebook, то в «настройках» аккаунта в разделе «реклама» нужно полностью запретить персонализацию рекламных объявлений (настройки -> реклама -> настройки рекламы).

Желательно сочетать эти меры с отправкой параметра "Do not Track" во всех браузерах и отключением рекламного идентификатора в мобильных устройствах Apple и Android.

Способ 3. Всеобъемлющий.

Не делать в сети ничего дурного и вести себя прилично) 

Вместо послесловия.

25 сентября 2018 г. Facebook установил факт атаки на свои сети, которая затронула пользователей, просматривавших собственные страницы с помощью функции «посмотреть как». Функция позволяет увидеть страницу со стороны - в том виде, в каком она отображается для других пользователей. Уязвимость этой функции позволила хакерам скомпрометировать почти 50 млн учетных записей Facebook.

Как пояснила ФБ в официальном заявлении, уязвимость дала возможность хакерам украсть токены доступа, которые можно использовать для захвата аккаунтов. Токены доступа эквивалентны цифровым ключам, благодаря которым пользователь может оставаться залогиненным в соцсети, не вводя пароль каждый раз заново.

Компания ликвидировала уязвимость, временно отключила функцию «посмотреть как» и переустановила токены доступа для всех 50 млн. скомпрометированных аккаунтов. Кроме того, на всякий случай инженеры Facebook переустановили токены еще для 40 млн. аккаунтов — тех, пользователи которых хоть раз за последний год использовали функцию «посмотреть как». Пока неизвестно, кто и откуда осуществил атаку.

За это нарушение согласно регламенту Европейского Союза GDPR (Общий регламент по защите данных), вступившему в силу в мае 2018 г. и регулирующему вопросы приватности пользователей, Facebook может быть подвергнут штрафу в размере $1,63 млрд.