大型互联网公司做的很多事情都被媒体报道成了丑闻,但我认为其中一个滥用数据的行为受到的关注太少,那就是Facebook和后来的Twitter都被发现使用人们提供的电话号码进行双因素身份验证,后来又将其用于通知/营销目的。
如果您不知何故没有意识到,双因素身份验证是您应该如何保护您最重要的帐户。我知道很多人懒得设置它,但是请您这样做。它并不完美(Twitter最近的重大黑客攻击绕过了2FA保护),但它比仅仅依靠用户名和密码要好很多倍。在2FA的早期,实现它的一种常见方式是使用文本消息作为第二个因素。也就是说,当您尝试登录一台新机器时(或在一段时间之后),该服务将不得不向您发送一个代码,您需要输入该代码才能证明您就是您。
随着时间的推移,人们意识到这种方法不太安全。许多黑客攻击涉及人们交换SIM卡(使用社会工程技术将您的电话号码移植给他们),然后将2FA代码发送给黑客。如今,Good 2FA通常需要使用认证应用程序,如Google Authenticator或Twilio‘s Authy,甚至更好的是使用物理密钥,如Yubikey或Google的Titan Key。然而,许多服务和用户坚持使用2FA的短信,因为它对用户来说是最不复杂的--任何安全做法的问题是,如果它不方便用户,就没有人会使用它,这也没有任何好处。
但是,使用为2FA目的提供的电话号码进行通知或营销真的很糟糕。首先,它会破坏信任--这是您在处理安全机制时最不想做的事情。人们交出这些电话号码/电子邮件是为了一个非常具体和详细的原因:为了更好地保护他们的账户。然后与营销团队共享该电话号码或电子邮件是对信任的严重违反。它还会破坏双因素身份验证的整个概念,因为许多用户会因为担心数字可能被滥用而变得不太愿意使用2FA。
一年前,当Facebook收到联邦贸易委员会50亿美元的巨额罚款时,我们注意到,尽管媒体几乎完全将注意力集中在剑桥分析公司(Cambridge Analytica)的情况上,作为罚款的原因,但如果你真的阅读了联邦贸易委员会的和解文件,就会发现真正促使联邦贸易委员会采取行动的是其他事情,包括Facebook使用2FA电话号码进行营销。我们很高兴Facebook因此而受到惩罚。
现在轮到Twitter了。Twitter透露,联邦贸易委员会正准备就这种行为对该公司处以1.5亿至2.5亿美元的罚款--并指出,该行为违反了2011年与联邦贸易委员会达成的一项同意法令的条款,当时该公司承诺不会在处理个人信息的方式上误导用户。然而,多年来,Twitter使用为2FA提供的电话号码和电子邮件来帮助定向广告(基本上使用电话号码/电子邮件作为定向的标识符)。
除了Twitter对数据的处理非常糟糕之外,没有任何其他解释,该公司应该为此受到惩罚。我认为Twitter有很多事情会受到不公平的指责,但像这样的做法既糟糕又危险,我完全支持联邦贸易委员会对其处以巨额罚款,以说服企业永远不要再做这种事情。