Facebook maakt gebruikers vindbaar via 2FA-telefoonnummer

[Captain Kirk]

Het telefoonnummer dat Facebookgebruikers opgeven om hun account met tweefactorauthenticatie (2FA) te beveiligen wordt ook door de sociale netwerksite gebruikt om gebruikers vindbaar voor anderen te maken en gebruikers kunnen zich hier niet voor afmelden.

Tweefactorauthenticatie is een belangrijke beveiligingsmaatregel om accounts te beschermen. Vorig jaar kwam Facebook al onder vuur te liggen omdat het 2FA-telefoonnummer van gebruikers ook voor advertentiedoeleinden wordt gebruikt. Nu blijkt dat de standaardinstellingen van Facebook het voor iedereen mogelijk maken, zowel met als zonder account, om gebruikers via het 2FA-telefoonnummer op te zoeken. Gebruikers kunnen dit wel aanpassen naar vrienden en vrienden van vrienden, maar geheel uitschakelen is geen optie.

Twitteraar Jeremy Burge haalde in een tweet uit naar Facebook omdat het 2FA-telefoonnummers gebruikt om gebruikers vindbaar te maken en dat gebruikers hier niets aan kunnen doen. Burge kreeg bijval van Alex Stamos, de voormalige chief security officer van Facebook, die stelde dat de sociale netwerksite 2FA-telefoonnummers moet loskoppelen van de zoekfunctie en advertenties.

Facebook laat in een reactie tegenover TechCrunch weten dat de instelling niet nieuw is en dat het geldt voor alle telefoonnummers die gebruikers aan hun account toevoegen. Op de vraag waarom gebruikers standaard via het telefoonnummer voor iedereen vindbaar zijn, merkt de sociale netwerksite op dat het dit doet om gebruikers eenvoudiger vindbaar te maken.

 

 

bron: security.nl

[Captain Kirk]

EFF: Facebook brengt gebruikers in gevaar via 2FA-telefoonnummer

 

Facebook brengt gebruikers in gevaar door ze vindbaar te maken via het telefoonnummer dat voor beveiligingsdoeleinden is opgegeven, zo stelt de Amerikaanse burgerrechtenbeweging EFF. De organisatie reageert op het nieuws dat Facebookgebruikers standaard voor iedereen vindbaar zijn via het telefoonnummer dat voor tweefactorauthenticatie (2FA) is ingesteld.

Gebruikers kunnen deze zoekinstelling alleen beperken tot vrienden en vrienden van vrienden. Niet gevonden kunnen worden via het 2FA-telefoonnummer is geen optie. Facebook kreeg flinke kritiek van beveiligingsexperts die vinden dat voor beveiligingsdoeleinden opgegeven informatie niet voor andere zaken moet worden gebruikt. Ook de EFF sluit zich hierbij aan.

"Voor mensen die 2FA nodig hebben om hun account te beschermen en veilig te zijn, dwingt Facebook hen om onnodig te kiezen tussen security en privacy", zegt Gennie Gebhart van de EFF. Volgens Gebhart worden hierdoor de verwachtingen van gebruikers en security best practices met voeten getreden. "Facebook moet dit oplossen voordat meer mensen risico lopen. Het had telefoonnummers die voor security werden gegeven nooit voor iedereen doorzoekbaar moeten maken in de eerste plaats", merkt ze op. Facebook liet aan The Guardian weten dat het met de ontvangen feedback rekening zal houden.

 

 

bron: security.nl