Facebook pozwalał na odzyskanie numeru telefonu dowolnego użytkownika na podstawie… maila

To tylko wycinek wyników zaprezentowanej tutaj pracy:

Specifically, we show how the adversary can infer users’ full phone numbers knowing just their email address, determine whether a particular user visited a website, and de-anonymize all the visitors to a website by inferring their phone numbers en masse.

Skuteczność niemal 100% – a czas odzyskania numeru to ok. 20 minut.

Całość bazuje na reklamach, które mogą być wyświetlane na Facebooku. Można „wyemitować” reklamę, która będzie kierowana „do wszystkich”. Np. 20 000 wyświetleń.

Mało skuteczne? Niebieski portal umożliwia zatem lepsze przystosowanie grupy odbiorców. Osoby w wieku 18-30 lat, z terenu Polski, interesujące się IT. Lepiej? Znacznie, ale nie dla wielu reklamodawców. Grupy można dalej ograniczać korzystając z ich danych osobowych (!).

Chcemy wysłać reklamę tylko do naszych klientów. Jak? Proszę: uploadujemy do FB ich imiona i nazwiska, można daty urodzenia, e-maile czy telefony. I mamy tzw. target, na widok którego marketing jest w niebie, a chroniący dane osobowe – w piekle ;-)

W sumie FB do zdefiniowania odbiorców reklamy, pozwala na użycie 15 tego typu parametrów.

Co by tu dalej wymyślić… może dało by się zawęzić grupę odbiorców do zbioru jednoelementowego i później odczytać statystyki takiej grupy? (FB i inne portale prezentują pewne ciekawe informacje o „docelowej audiencji”). Kiedyś rzeczywiście się dało, ale już kilka dobrych lat temu (patrz pracę: „Privacy Violations Using Microtargeted Ads: A Case Study„) temat został rozpoznany i obecnie sporo dużych socjalportali ma zdefiniowane minimalną liczność dla „ręcznie” definiowanej grupy odbiorców reklam:

minimalna liczność grupy

Grupy można jednak dodawać, odejmować czy robić przecięcie (analogicznie jak dla zbiorów). Powiedzmy, że chcę reklamę kierować tylko do ludzi, którzy lubią daną stronę na FB i tylko takich którzy już coś kupili u mnie (mam ich imiona i nazwiska). Robię przecięcie dwóch zbiorów.

Teraz bazując na pewnych zaokrągleniach, które pokazywał Facebook obrazując liczność docelowej grupę odbiorców reklamy, można było stwierdzić czy dany użytkownik znajduje się w tej grupie czy nie.

W pewnym uproszczeniu jeśli miałem użytkownika o mailu x@y.z – tworzyłem mega-listy z wszystkimi możliwościami numerów i patrzyłem, do której grupy on należy.  Dalej metodą eliminacji dochodziłem do konkretnego numeru (konkretna matematyka tutaj). A to wszystko za darmo (ja tylko próbuję poznać grupę odbiorców reklamy… nie próbuję nic kupić od FB…):

For France, we create a total of 82 lists: French mobile phone numbers have nine digits where the first digit is either 6 or 7. We generate all 200M possible numbers starting with 6 or 7 and use this to construct our sets (and hence each Lij contains 10M phone numbers); it took over four hours to upload each list. We uploaded all 82 lists of phone numbers (two to determine the first digit, and 10 for each of the remaining eight digits) over a period of a week.

W ramach testów wybrano 22 osoby (za ich zgodą). Oto efekty:

We then conduct our attack to infer the phone numbers of all 22 users. We find that we are successfully able to infer the numbers of 11 of the 14 users in Boston, and of all 8 of the users in France. In the cases where we succeeded, we were able to infer each users’ phone number in under 20 minutes.

Prawie 100% skuteczność w 20 minut. Co z pozostałymi trzema użytkownikami? Jeden nie podał telefonu w FB :P Dwóch podało wiele numerów.

To tylko jeden z ciekawych przypadków omawiany przez twórców badania. Są np. takie kwiatuszki jak możliwość poznania numerów telefonów osób odwiedzających daną stronę (kto kojarzy Facebook pixel? :):

(…) the adversary can infer users’ full phone numbers knowing just their email address, determine whether a particular user visited a website, and de-anonymize all the visitors to a website by inferring their phone numbers en masse.

Co na to wszystko Facebook? Załatał problem w grudniu 2017r. i wypłacił bounty $5 000.

Widzicie chyba cienką linię, którą czasem niepostrzeżenie przekraczają reklamodawcy, a przekroczenie której może skończyć się niesmpatycznie dla zwykłych użytkowników, którzy z reklamą nie chcą mieć nic wspólnego (i mają nawet jedną z odmian adblocka).

–ms