Сначала это был Facebook, а затем Twitter. Компании признали, что позволяла маркетологам получать доступ к телефонным номерам, которые пользователи оставляли при регистрации на сайте. Многие указали свои номера, чтобы включить двухфакторную аутентификацию (2FA) — процесс, при котором сайт отправляет вам текстовое сообщение, чтобы убедиться, что вы действительно входите в систему.
Пользователи не понимали, что они также позволяют маркетологам проверить, кто они такие, чтобы создавать лучшие рекламные профили, используя данные пользователей Twitter (в компании утверждают, что это была непреднамеренная ошибка и что они закрыли эту дыру).
Это особенно опасно, потому что телефонные номера стали мощным инструментом для идентификации и отслеживания нас, причем не только для компаний, но и для любого, кто захочет посмотреть нашу личную информацию, хранящуюся в огромном количестве публичных документов, таких как судебные документы, регистрация избирателей, сделки с недвижимостью и записи о браке.
Признание Twitter — это неприятный случай дежа вю, поскольку Facebook признался в неправильном использовании телефонных номеров для таргетинга рекламы двумя годами ранее. «Для многих людей [аутентификация по текстовым сообщениям] является абсолютно разумной защитой» — говорит Генни Гебхарт, исследователь по вопросам конфиденциальности и безопасности потребителей в Electronic Frontier Foundation. «Но компания поступила безответственно».
Во многих отношениях может быть уже слишком поздно, чтобы помешать крупным социальным сетям использовать ваш номер телефона по своему усмотрению. В Facebook мне сказали, что они удалят номер телефона из записей только в том случае, если вы удалите весь свой аккаунт (и какое бы искушение я не испытывал, я не смог пойти на такой радикальный шаг). Twitter требует номер телефона для двухфакторной авторизации, даже если вы пользуетесь приложением, хотя, по словам компании, это может измениться.
К счастью, есть и другие способы защитить свои онлайн-аккаунты, не передавая номер телефона. Facebook, Twitter и большинство крупных сайтов допускают второй метод двухфакторной авторизации, который использует бесплатное приложение для генерации краткосрочных кодов, которые вы можете ввести на сайте для подтверждения своей личности, так же, как и код, отправленный вам по СМС.
Приложения для аутентификации остаются лучшим способом защиты ваших учетных записей в Интернете, особенно Authy — бесплатное приложение для Android, iOS, Windows и macOS, интуитивно понятное в использовании. После регистрации учетной записи Authy на веб-сайтах, которыми вы пользуетесь, приложение создает резервную копию регистрации настроек двухфакторной авторизации в облаке и синхронизирует ее на нескольких устройствах, что позволяет легко войти в систему, даже если ваш телефон сломался или потерялся.
Бесплатные приложения, такие как Authy, позволяют генерировать коды для всех сайтов, которыми вы пользуетесь.
Google, LastPass и Microsoft также предлагают удобные бесплатные приложения-аутентификаторы для Android и iOS. А популярные платные менеджеры паролей, такие как 1Password и Dashlane, также включают функцию двухфакторной авторизации.
Некоторые сайты и приложения делают всё еще проще, заменяя коды push-уведомлениями. Когда вы входите на сайт, вы получаете уведомление на приложение аутентификатора и нажимаете кнопку, чтобы подтвердить свою личность. На сайте под названием Two Factor Auth представлен обширный список основных сайтов, предлагающих аутентификацию по номеру телефона или принимающих 2FA на основе приложений.
Что делать, если номер телефона все еще нужен?
Хотя большинство крупных сайтов допускают использование приложений-аутентификаторов, некоторые из них все еще ориентируются на телефонные номера. Но и здесь у вас есть выход: вместо номера своего мобильного телефона укажите номер Google Voice.
На протяжении многих лет Google позволяет людям бесплатно получать виртуальные телефонные номера, на которые можно принимать звонки и текстовые сообщения так же, как на реальный номер (вы можете получить доступ к нему онлайн или пересылать сообщения на другой телефон). Использование таких номеров при регистрации услуг — отличный способ сократить количество звонков со спамом, а также гарантировать, что ваш настоящий номер телефона не останется у компании навсегда (выделенный Gmail для спама — еще одна хорошая идея).
Одна загвоздка: Google требует, чтобы вы указали реальный номер телефона при регистрации в Google Voice. Но вы можете удалить номер в настройках после того, как настроите услугу, хотя это означает, что вы не сможете переадресовывать сообщения и звонки на этот номер. В отличие от Facebook, Google, по крайней мере, утверждает, что будет выполнять просьбы пользователей об удалении их данных. Даже если это ложь, вы сообщаете свой настоящий номер только одному сайту, а не всем сайтам, которые требуют номер телефона для двухфакторной авторизации.
Тем не менее, бывают случаи, когда вы хотите, чтобы компания имела ваш настоящий номер. Банки могут поддерживать приложения-аутентификаторы для двухфакторной авторизации или работать с номером Google Voice. Но если мошенник взломал ваш банковский счет, вы, возможно, захотите получить предупреждение об этом как можно скорее.