Facebook y 2FA: convertir la seguridad en un negocio causa un daño terrible

0
MuySeguridad

El caso de Facebook y 2FA es el penúltimo que pone a la red social en primer plano debido a la forma en que maneja los datos personales de sus usuarios. Peor aún, al convertir un mecanismo de seguridad importante, como la autenticación de dos factores en Negocio propio reduciendo la confianza en él..

El caso no es nuevo, aunque volvió a destacar el fin de semana pasado a manos de un tweet Jeremy Burge, fundador de Emojipedia, se aseguró de que cualquiera pudiera buscar en Facebook usando su número de teléfono, proporcionado a la red social para habilitar la autenticación de dos factores. El mensaje de Burge se volvió viral, los editores han regresado y los usuarios que no sabían en ese momento lo saben. Pero viene de lejos.

2FA es una función de seguridad que conocerá como "identificación doble" o "dos factores". Es utilizado por la mayoría de los grandes servicios de Internet y las empresas para garantizar la autenticación real de un usuario. Para el acceso habitual a un servicio con el nombre y la contraseña, 2FA agrega un código generalmente enviado por un mensaje de texto al teléfono inteligente del usuario. Su funcionamiento requiere que proporcione ese número de teléfono a la empresa en cuestión.

Este número es el que ha estado vendiendo Facebook. A anunciantes sin conocimiento o consentimiento expreso del usuario.

Hace casi un año, un grupo de usuarios se quejó de recibir spam en el número de teléfono que utilizaron en Facebook para activar la función 2FA. La red social lo atribuye a un error. "Lo último que queremos es que las personas eviten funciones de seguridad útiles porque temen recibir notificaciones no relacionadas", escribió en un publicación en el blog de la compañia El entonces CSO de Facebook, Alex Stamos. Stamos olvidó mencionar que eso era precisamente lo que estaban haciendo: Vender el número de teléfono a los anunciantes. Para aumentar los ingresos y no para lo que fue diseñado: mejorar la seguridad.

Motherboard ha consultado con varios analistas y están de acuerdo: es un golpe para la ciberseguridad. Desafortunadamente, solo un pequeño porcentaje de personas utiliza esta función, principalmente porque puede ser una carga y rara vez se requiere de forma predeterminada, lo que deja a los usuarios con la responsabilidad de activarla. Ahora, Facebook puede haber dado a los usuarios razones para no usarlo.

La ex-CSO de Facebook también ha respondido al caso: "Se suponía que debía haber un gran proyecto para separar los números (el par entregado 2FA y el resto) mientras estaba allí, pero al parecer no fue a ninguna parte. No es un error ahora, es claramente intencional".

Harlo Holmes, un capacitador en seguridad digital de la Fundación Libertad de Prensa, explicó que el caso de Facebook y 2FA fue "Un ejemplo perfecto de un usuario convertido en un producto".

Es urgente detener la violación de la privacidad.

Colocar a Facebook y la privacidad en la misma línea es imposible. En términos de seguridad, la red social obtiene un fallo manifiesto desde su lanzamiento. Y va a empeorar. los Incapacidad de Facebook para proteger los datos de sus clientes. Es manifiesto. Algunas veces por errores y otras (peor) por la forma de manejar los datos pensando más en el negocio que por garantizar la seguridad.

Mark Zuckerberg prometió cambios para superar el horrible año de Facebook, pero los escándalos continúan ocurriendo y siempre por las mismas razones. El regulador europeo lanzó una "consulta legal" que podría llevar a una multa multimillonaria de 1.600 millones de dólares luego de recibir múltiples informes de violaciones de datos que afectan a la compañía. Parece poco Si atiende la seguridad y la privacidad, el único consejo posible es #DeleteFacebook.