脸书总是不时提醒你输入手机号码提供双重验证(2 Factor Authentication,2FA)多一份保障,但是Techcrunch引述名为Jeremy Burge的研究人员推特披露,一旦用户输入电话号码,反而可让其他人搜索到,而且这项功能是关不掉的。
根据脸书的说明页,用户可将该电话号码隐藏起来让其他人看不见,但其实所有第三者还是可用该电话号码搜索到它的持有人,等于让自己的隐私门户洞开。脸书并不提供用户关掉这项功能的选择,最多只能限制在亲近的朋友圈。
另外,Burge还指出,脸书还会把这电话号码分享给WhatsApp和Instagram。它会出现对话框“这是你的电话号码吗?”,一旦用户确认,也就将该号码分享给旗下另一个网站。
脸书一开始要求用户输入电话号码的对话框也只说明是用来启动2fA安全机制,后来才加入“See More”链接说明这项信息的其他用途。根据脸书老是把用户个人信息分享给广告主的经验,这个2fA信息为用户招来广告也不奇怪。
脸书表示已听到外界意见,也会纳入产品考量。在被Techcrunch问及何以默认开放所有人搜索,脸书回复这可让其他人确认用户是否为其朋友。至于脸书未来是否会让用户或关闭这项功能,脸书则表示不对未来计划做评论。
斯坦福大学兼任教授,也是脸书前安全主管Alex Stamos对此通过推特指出,这也说明科技公司需要有人针对产品提供安全优先的建议。他认为脸书若不切割搜索和广告,不太可能要高风险帐号实行2fA。
事实上,这已不是脸书第一次滥用2FA个人信息。去年年初许多脸书用户反映在输入2FA电话号码后收到一堆广告及垃圾消息,当时脸书还辩称是bug所致,结果去年9月被研究学者发现用户的2FA电话号码,原来被脸书提供给外部广告主发送精准广告。