`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Александр Пацай

Facebook и номер телефона

+24
голоса

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами “Никогда такого не было, и вот опять”. Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.

Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/

Facebook и номер телефона

+24
голоса

Напечатать Отправить другу

Читайте также

https://www.receive-sms-online.info/

Всё прогрессивное человечество уже давно пользуется этим, для безсчётного количества двухфакторных авторизаций. Я пользуюсь уже несколько лет, без сбоев и проблем.

"Привязка" мобильного номера к "человеку" - это вообще глупость. У меня, только рабочих номеров (выданных работодателем) - несколько и личных, которым по многу лет - ещё несколько. Проблема-то, в том, что - рабочие номера - иногда передаются другим людям, а "привязывать" личные номера к корпоративным сервисам и - наоборот - глупо. ИМХО.

Всё прогрессивное человечество уже давно использует отдельную симку для безсчётного количества двухфакторных авторизаций.

SIM-ка+IMEI позволяют довольно точно установить конкретного человека. К тому же, в "яйфоне" - нет места для второй SIM-ки. Хотя, как запасной вариант, прогрессивное челоечество эту возможность использует - тоже. =) Тут возникает проблема с 2FA в банкинге: сигнатура голоса и необходимость, при проблемах с банкингом, - звонить на поддержку именно с того номера, который "привязан". У меня пару раз были с этим проблемы за границей. Чтобы не оказаться сложной ситуации за границей, всегда нужно иметь с собой кредитки других банков с открытыми опциями кредита, проплаты и снятия наличности за границей. Перед командироввкой, я просто физически посещаю ближайшее отделение банка и устанавлиаю все разрешения и лимиты,без участия SIM-ок и IMEI.

"SIM-ка+IMEI позволяют довольно точно установить конкретного человека. К тому же, в "яйфоне" - нет места для второй SIM-ки"

Не обязательно использовать именно айфон для второй SIM-ки.
Какой-нибудь ксяоми вполне подойдет )
А знание "SIM-ка+IMEI" не даст инфы по телефону, по которому никто не разговаривает.

Прим.: у меня Лумия 950XL, там две симки. Очень удобная вещь, которой сложно найти замену.

Если,Вы, в принципе разговаривате голосом, хотя бы изредка, по любой из SIM-ок, то любая IVR "привяжет" все IMEI (даже если менять SIM-ки каждый час), с которых будет совпадать сигнатура голоса. Неофициально, конечно, но для любой внутренней или внешней службы безопасности - этого вполне достаточно, чтобы найти конкретного человека.

"Если,Вы, в принципе разговаривате голосом, хотя бы изредка"

По второй симке я не звоню, но даю позвонить своим разным знакомым.
И пусть вычисляют сигнатуру голоса )

Тогда уже, если Вас не смущает компроментация IMEI, есть смысл перейти на это:
http://kvirin.com/tech_info_protect/2/protection/207/
Будет плюс в том, что сгенерированные голоса - не принадлежат реальным людям.

https://myshadow.org/trace-my-shadow "поптичкайте" тут. ;+)

"Веб-сайты вроде Google, Facebook и другие попросят (мобильный) телефонный номер, как только вы попытаетесь авторизоваться. Если только пользователь не исключительно умён или имеет альтернативу, эту информацию нельзя предоставлять.

Любые телефонные номера будут внесены в журнал. SIM-карта скорее всего зарегистрирована на имя пользователя. Даже если это не так, получение SMS выдаёт местоположение. Пользователи могут попробовать анонимно купить SIM-карту далеко от своего обычного домашнего адреса, но всё равно остаётся риск: сам телефон. Каждый раз при регистрации в сотовой сети провайдер сохраняет серийный номер SIM-карты и серийный номер телефона. Если SIM-карта куплена анонимно, а телефон нет, то анонимности не будет, потому что два серийных номера свяжут вместе.

Если пользователь действительно хочет пройти верификацию по номеру мобильного телефона, то рекомендуется уехать далеко от дома, найти свежий телефон с новой SIM-картой. После верификации телефон следует выключить, и немедленно после этого телефон и SIM-карту нужно полностью уничтожить. Это делается путём сжигания или другими изобретательными (надёжными) способами уничтожения.

Пользователи могут попробовать найти онлайновый сервис, который получит персональное SMS от их имени. Это сработает и обеспечит анонимность. Проблема в том, что в Google и Facebook такой метод вряд ли сработает, потому что они активно вносят в чёрные списки такие номера верификации. Другой вариант — найти кого-либо, кто получит SMS вместо вас, но это лишь перенесёт риски на другого человека."

Это просто цитата с хабры.

А для повседненого пользования приходится "мутить" через разные сервисы, типа https://www.digitalocean.com/ и конечно же https://habr.com/ru/post/204266/ и т.п.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT