Facebook. (Illustrasjonsfoto)
Facebook. (Illustrasjonsfoto) (Foto: REUTERS/Regis Duvignau/Illustration/File Photo)

Facebook bruker 2FA-numre til målrettet reklame

Facebook har innrømmet at de bruker blant annet telefonnumre som er oppgitt for tofaktorautentisering (2FA) til å målrette reklamen til brukerne.

Ifølge en studie gjort av forskere ved to amerikanske universiteter, bruker Facebook blant annet telefonnumre oppgitt for tofaktorautentisering til å drive målrettet reklame.

Også kontaktinformasjon du oppgir for å få varsel om ukjente innlogginger, og informasjon om deg som venner har lagret på synkroniserte kontaktlister, kan brukes til målrettet markedsføring.

Facebook innrømmer bruken

Det var Gizmodo som først skrev om studien, hvorpå Facebook i går innrømmet til TechCrunch at det stemmer at de bruker telefonnumre for 2FA til målrettet reklame.

– Vi bruker informasjonen folk oppgir til å gi en bedre, mer tilpasset opplevelse på Facebook, inkludert reklame.

– Vi er tydelige på hvordan vi bruker informasjonen vi samler, inkludert kontaktinformasjonen folk oppgir eller legger til sin egen konto. Du kan når som helst behandle og slette kontaktinformasjonen du har oppgitt, sier en talsperson for Facebook til TechCrunch.

Hvor tydelige Facebook er på bruken av telefonnummeret du oppgir ved bruk av tofaktorautentisering kan kanskje diskuteres.

«Legg til mobilnummeret ditt i kontoen, slik at du kan tilbakestille passordet hvis du får behov for det, finne venner med mer. Du kan velge å slå på SMS-oppdateringer for nummeret senere», er beskjeden du får ved aktivering av tjenesten.

Dialogboks for aktivering av totrinnsverifisering.
Det ser ut til å være ordene «med mer», Facebook mener at er å være tydelige på hvordan de bruker informasjonen de samler inn. Skjermbilde: Facebook

Slik fungerer det

Måten dette fungerer på, er ved at bedrifter kan laste opp sin liste over kontakter de ønsker å nå med reklamen sin. 

Dette kan være en butikk som laster opp en liste over telefonnumre eller epostadresser til tidligere kunder, eller som Gizmodo bruker som eksempel: Spillselskaper som laster opp en liste over folk som er interessert i – og kanskje avhengige av – pengespill.

Deretter forsøker Facebook å koble denne kontaktinformasjonen opp mot brukeres profiler, og sørger for at disse profilene får opp reklamen i sin nyhetsoppdatering. 

At kontaktinformasjon du oppgir direkte på Facebook-profilen din brukes til dette formålet er forhåpentligvis ikke overraskende, og dette blir også informert ganske greit om under annonsedelen i innstillingene. 

Der kan du også se hvilke virksomheter som har deg på sin mailingliste, og du kan reservere deg mot reklame fra dem.

Bedre sikkerhet – dårligere personvern

Det som kanskje er verre, er at de altså i tillegg bruker informasjon du oppgir til helt andre, konkrete formål. Verst er kanskje formålene der du oppgir det for å øke sikkerheten – som ved tofaktorautentisering, hvor du risikerer å få dårligere personvern på kjøpet. 

Ifølge studien gjelder altså dette også når du ber om å få varsel om ukjente innlogginger på epost eller SMS. 

Dialogboks for å aktivere opplasting av kontakter.
Hva folk definerer som «en bedre tjeneste» er nok subjektivt, men de fleste synes nok ikke det er opplagt at dette betyr målrettet reklame. Skjermbilde: Messenger

Hvis man legger til telefonnummer for å aktivere dette via nettleserversjonen av Facebook, får man beskjed om at nummeret kan bli brukt til å tilbakestille passord, finne venner, få SMS-oppdateringer «og mer».

Ved aktivering via mobilappen, eller hvis man legger til epostadresse, får man ingen beskjed om hvordan informasjonen blir brukt.

Også hvis man aktiverer SMS-meldinger i Messenger-appen, blir telefonnummeret brukt til målrettet reklame. 

Hvis vennene dine synkroniserer kontaktlisten sin med Messenger, risikerer du også at kontaktopplysningene de har lagret på deg blir koblet til din konto, og brukt til målrettet reklame.

Her er informasjonen du får at «opplasting av kontaktene dine hjelper deg med å finne folk du kan snakke med, og bidrar til at Facebook og Messenger kan tilby en bedre tjeneste».

– Det som gjør situasjonen verre, er at det koblede telefonnummeret ikke er oppført hverken på brukerens profil eller i arkivet du får ved å velge «last ned informasjonen din»; dermed får ikke brukeren noe informasjon om eller kontroll over hvordan dette telefonnummeret ble brukt til å drive målrettet reklame mot dem, står det i studien.

Ikke bra nok 

Direktør i Datatilsynet, Bjørn Erik Thon, sier at det er et bærende prinsipp i personvernet og den nye personvernforordningen at man ikke bruker data til andre ting enn det som er formålet.

– Hvis formålet med å oppgi telefonnummeret er tofaktorautentisering, så skal man ikke bruke det til andre ting enn det.

Bjørn Erik Thon
Bjørn Erik Thon ser ikke bort fra at Facebooks noe ulne behandling av brukernes kontaktinformasjon kan bli en sak for Datatilsynet. Foto: Mariam Butt / NTB scanpix

Heller ikke formuleringer som at dataene skal brukes til enkelte spesifiserte formål «og mer» er ifølge Thon bra nok etter at GDPR trådte i kraft.

– Det skal ikke lenger være vage formuleringer som «og annet» eller «vi kan bruke dataen til». Det følger av den nye forordningen at det skal fremgå hvilke spesifikke formål dataene skal brukes til, sier han.

Thon vil ikke konkludere uten å ha sett nærmere på saken, men sier at det er klart at det reiser et spørsmål om lovligheten hvis dette er som det fremstår. Han ser ikke bort ifra at saken kan havne hos Datatilsynet.

– Det kan hende denne saken ligger til behandling allerede, det har kommet mange saker, og jeg har ikke på stående fot helt oversikt over hva som ligger der. Men det kan være aktuelt å ta opp en sånn sak, det må vi vurdere å gjøre, sier han.

Kommentarer (10)

Kommentarer (10)
Til toppen