Il numero di telefono dato a Facebook per l’autenticazione a due fattori non è al sicuro
Ormai sembra non esserci limite agli scivoloni a tema privacy dei quali riesce a rendersi protagonista Facebook. Il passato spregiudicato dell'azienda nel gestire le informazioni dei suoi utenti sta tornando a tormentare il presente della società ormai da mesi e l'ultimo episodio non è meno inquietante degli altri. Da tempo infatti sembra che Facebook utilizzi i numeri di telefono forniti per l'autenticazione a due fattori (ovvero il servizio di sms inviati per fare coppia con la password da immettere a ogni nuovo accesso) per integrarli alle informazioni di contatto degli utenti. Il risultato è che inserendo questi ultimi nel motore di ricerca del social network, appare come risultato il profilo del proprietario.
L'attenzione sul fenomeno l'ha richiamata il fondatore di Emojipedia Jeremy Burge, raccontando di non aver mai fornito il proprio numero di telefono come componente del proprio profilo, ma solo per abilitare l'autenticazione a due fattori. Nonostante questo — ha scoperto — il numero ha iniziato a fare parte integrante delle sue informazioni di contatto; non si può vedere pubblicamente, ma chi lo conosce può utilizzarlo per scovare la sua pagina. Quel che è peggio è che l'informazione non si può eliminare: si può solo mettere un limite alla platea di persone che possono utilizzarla per trovare il profilo.
Facebook di per sé è già piuttosto insistente nel chiedere ai suoi utenti di accedere alla loro rubrica telefonica: lo fa per trovare gli amici presenti sulla piattaforma, ma soprattutto per memorizzare il numero di telefono di proprietario e contatti e indicizzarli al meglio sul proprio motore di ricerca. Chiedere il numero di telefono per abilitare l'autenticazione a due fattori però è tutt'altra cosa: significa, in teoria, utilizzare l'informazione fornita per proteggere al meglio la privacy degli utenti. Per questo è bizzarro che il social network abbia utilizzato questi numeri per inserirli tra i dettagli degli utenti che li hanno concessi: le due banche dati dovrebbero rimanere separate, e la seconda non dovrebbe essere utilizzata per nient'altro se non per l'invio degli sms che contengono i codici di accesso temporanei alla piattaforma.
Per Facebook non c'è niente di strano. In una dichiarazione a Techcrunch il gruppo ha affermato che le cose stanno così da tempo, ma il fatto che nessuno finora l'abbia fatto notare non è esattamente una garanzia di trasparenza da parte della società. In molti infatti hanno sicuramente rifiutato di concedere all'app il permesso di ficcanasare tra i contatti, eppure possono aver abilitato l'autenticazione a due fattori in cerca di un livello di protezione maggiore contro tentativi di accesso non autorizzati: questa fetta di utenti — a rigor di logica la più attenta alla privacy — si è comunque trovata il proprio numero di telefono indicizzato.
Il consiglio per chi voglia limitare il più possibile l'utilizzo di questa informazione è quello di recarsi tra le impostazioni delle privacy del proprio profilo, e alla voce "Chi può cercarti usando il numero di telefono che hai fornito?" selezionare solo gli amici.
