На цей раз йдеться про телефонні номери, надані користувачами як компонент механізму двофакторної аутентифікації для входу в Twitter, повідомляє TheHackerNews.
Публікація приватних твітів, витік паролів у текстовому форматі, надання особистої інформації сотень тисяч своїх користувачів рекламодавцям – ось далеко не повний список провалів у політиці безпеки в соціальній мережі Twitter. А сьогодні компанія визнала, що номери телефонів та адреси електронної пошти деяких користувачів, що забезпечують захист двофакторної аутентифікації (2FA), використовувались для цільових рекламних цілей – хоча компанія заявила, що це “ненавмисне”.
У своєму дописі в блозі компанія заявила про помилку у своїй рекламній системі “Індивідуальні аудиторії та партнерські аудиторії” ненавмисно використала інформацію, надану користувачами з міркувань безпеки, для показу рекламних оголошень на основі власних маркетингових списків рекламодавців.
“Коли рекламодавець завантажив свій маркетинговий список, ми могли відповідати людям у Twitter по списку на основі електронної пошти чи номера телефону, який власник облікового запису Twitter надав з метою забезпечення приватності та безпеки. Це була помилка, і ми вибачаємося”, – сказала компанія у блозі.
Оскільки Twitter вимагає, щоб користувачі надавали дійсний номер телефону, щоб увімкнути двофакторний захист, навіть якщо вони не хочуть покладатися на SMS-повідомлення телефону для отримання коду 2FA та замість цього вибирати ключі безпеки або програми-автентифікатори, користувачі не мали можливості уникати цієї помилки. Однак Twitter запевнив, що жодні особисті дані ніколи не передавались зовнішнім партнерам з реклами або будь-яким іншим стороннім особам, які використовували функцію “Індивідуальні аудиторії”. Компанія Twitter також сказала, що не знає, скільки користувачів зазнали цього витоку приватних даних.
“Ми не можемо з впевненістю сказати, на скільки людей це вплинуло, але прагнучи бути прозорими, ми хотіли зробити всіх обізнаними”, – написав представник Twitter. “З 17 вересня ми вирішили проблему, яка дозволила цьому статися, і більше не використовуємо для реклами телефонні номери або електронні адреси, зібрані з метою забезпечення приватності або безпеки”.
Минулого року Facebook також був спійманий на використанні телефонних номерів, наданих його користувачами для захисту 2FA. У цьому випадку Федеральна торгова комісія США звинуватила компанію у навмисному використанні цих даних для рекламних цілей, що стало однією з причин, коли комісія оштрафувала Facebook на 5 мільярдів доларів у липні цього року.
Нагадаємо, компанія Google додала в Chrome Canary нову експериментальну функцію, яка надає користувачам можливість видалити сторонні файли cookie в браузері.
Також співробітники дослідницького інституту Fraunhofer-Institut für Sichere Informationstechnologie (Німеччина) попередили про уразливість в старому коді API Twitter, який як і раніше використовується популярними мобільними iOS-додатками.
Окрім цього, Facebook додала у Instagram нову функцію безпеки для захисту від фішингових атак. Відтепер, отримавши повідомлення від Instagram, користувачі зможуть перевіряти, чи насправді його прислала компанія, або це приманка фішерів.
Зверніть увагу, що у Opera 64 з’явився блокувальник трекерів, вмикати та вимикати який можна в меню “Просте налаштування” і в налаштуваннях браузера.
До речі, компанія Microsoft випустила чергові щомісячні оновлення безпеки для своїх продуктів. В цілому було виправлено 59 уразливостей в Windows і пов’язаному ПЗ, 9 з яких є критичними, 49 – небезпечними і 1 – середньої небезпеки.
