Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Facebook verplicht 2fa-activatie bij accounts die deelnemen aan Facebook Protect

Facebook zal binnenkort tweetrapsauthenticatie verplichten bij accounts die deelnemen aan het Facebook Protect-programma. Die zijn volgens het bedrijf potentieel sneller een doelwit van kwaadwilligen. De verplichting wordt de komende maanden uitgerold over de hele wereld.

Facebook Protect is een dienst die hackgevoelige accounts van onder andere politici, journalisten of activisten wil beschermen tegen hackaanvallen door sterkere beveiligingsmaatregelen aan te raden en potentiële hackdreigingen te monitoren. Bij die monitoring wordt nagegaan of er inlogpogingen uitgevoerd worden vanaf onbekende locaties of onbekende toestellen.

Tot voor kort was tweetrapsauthenticatie vrijblijvend, maar de komende maanden wordt het volgens Facebook verplicht. Met die verplichting wil het bedrijf de accounts nog beter beveiligen en hoopt het om het aantal gehackte accounts van deze risicogroepen nog verder terug te dringen.

Facebook Protect werd in 2018 in het leven geroepen om hackgevoelige accounts van onder anderen politici, beleidsmedewerkers, journalisten en activisten te helpen beschermen tegen kwaadwilligen. Enkel gebruikers die in aanmerking komen voor Facebook Protect krijgen een melding te zien om deel te nemen aan het programma. Volgens het bedrijf nemen momenteel meer dan 1,5 miljoen accounts deel aan het Facebook Protect-beveiligingsprogramma. Ongeveer 950.000 accounts hebben tweetrapsauthenticatie ingeschakeld. Sinds september van dit jaar is Facebook Protect in steeds meer landen beschikbaar.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Nieuwsposter

02-12-2021 • 22:12

43 Linkedin

Reacties (43)

Wijzig sortering
Cool, 2fa waardoor deze mensen dan hun telefoon nummer invullen, en dan vervolgens het telefoonnummer alsnog opnemen in een api response.... Of zouden ze die "oeps" al gefixed hebben?

Ik zou als politici of activist niet graag gebruik willen maken van een gratis platform die dan werkelijk alles van je opslaat, commercialiseert en dan ook nog continu in de schijnwerpers staat door privacy schending.

edit: ik denk dat mijn cynisch bedoelde bericht niet helemaal overkwam. Even wat verduidelijken
en hoe je kan voorkomen om FB je telefoonummer te geven

[Reactie gewijzigd door david-v op 3 december 2021 10:07]

Hoe zou je telefoonnummer invullen 2FA zijn? Je wachtwoord en je nummer zijn beide dezelfde factor, namelijk "iets dat je weet".
Niet invullen bij het inloggen, invullen op je profiel als onderdeel van het inschakelen van 2FA, zodat ze weten waar ze het SMSje met de tweede factor naartoe moeten sturen.
(Even helemaal los van de vraag of SMS-verificatie een goed idee is; dit is alleen de uitleg waarom david-v het over telefoonnummers heeft.)
Maar hoezo zou dat in een API-response worden opgenomen? Ik mis hier context, volgens mij.
Er zijn (minimaal) twee redenen waarom je niet wil dat Facebook je telefoonnummer weet (in theorie dan, in de praktijk weten ze het toch wel...)
  • Hoe meer data ze van je hebben, hoe beter FB je kan bigbrother'en en nóg meer data aan jouw profiel koppelen
  • Een tijd terug had iemand bij FB een blunder gemaakt en kwam informatie die privé had moeten zijn ("alleen zichtbaar voor mijzelf" als ik me de naam van de instelling goed herinner) toch mee via één of andere API call. Wat ze niet weten kunnen ze ook niet lekken.
Misschien begrijp ik je verkeerd met je eerste punt.
Facebook heeft als doel om data van de gebruikers te vergaren voor advertentiedoeleinden. Hoe is je telefoonnummer daar relevant voor? Hooguit "Gebruiker heeft een telefoonnummer"?

Begrijp me niet verkeerd. Ik snap het anti-facebook-sentiment volledig, maar dit lijkt me toch niet zo spannend als je toch al een account hebt?
Je mist twee verhalen.
Ten eerste dat er in het verleden door bijvoorbeeld Microsoft het telefoonnummer is gevraagd voor 2fa, en dat vervolgens op de profielen terecht kwam alsof het was ingevuld om te delen zoals je ook je telefoonnummer kunt delen.

Ten tweede is een (werkend) telefoonnummer heel erg handig voor het opbouwen van een profiel. Meeste mensen hebben er maar 1, mogelijk 2. Dus als jij nu 'vindt katten leuk' invult en je 2fa verplicht, ben je vervolgens te koppelen als je dat nummer ergens anders ook achter laat.

Hoe erg dat is, is een ander gesprek, maar dat die informatie is gebruikt terwijl dat niet met die intentie was gedeeld is al bewezen. Dat een groot advertentie netwerk graag zijn hand op die gegevens legt, en daar een 'goed excuus' voor heeft, wekt wat argwaan op.
Ter aanvulling van JJzD:

Tegenwoordig komt het niet meer in je (publieke) profiel terecht, maar dat wil inderdaad niet zeggen dat Facebook hier geen gebruik van maakt. Zoals in dit artikel te lezen is (inmiddels een paar jaar geleden), een telefoonnummer dat (in ogen van de gebruiker) ENKEL is afgegeven ter beveiliging van zijn/haar account, is door adverteerders te gebruiken voor targeting. Dit gebeurt door middel van je "Shadow profile" bestaande uit alle data die je niet direct hebt ingevuld om te delen, maar Facebook wel van je weet. Waaronder je 2FA telefoonnummer.

Facebook heeft echter niet enkel jouw telefoonnummer, maar ook die van vele andere gebruikers en zelfs volledige telefoonboeken die in het verleden zijn geupload. (Zie ook het bovenstaande artikel).

Neem het volgende scenario: Jij hebt een Facebook account, maar je houdt Werk en Prive gescheiden en hebt je collega's daarom niet op Facebook. Op een dat besluit jij dat jij je Facebook account beter wil afschermen door middel van 2FA en je besluit hiervoor je telefoonnummer te gebruiken. Dit doe jij met het oogmerk beveiliging. Echter wat jij niet weet is dat een van jouw collega's destijds in bijv. Messenger overal op "Akkoord, is goed, doe maar" heeft geklikt en zijn hele telefoonboek al heeft afgestaan aan Facebook waar jouw nummer ook in staat. Plotseling weet Facebook nu dat jouw werkgebied waarschijnlijk iets met X te maken heeft (door die collega) of dat jij potentieel meer affiniteit daarmee hebt.

Dat jij een telefoonnummer hebt, dat zal Facebook inderdaad niets interesseren. Waar het hun om gaat is dat het een best wel sterke individuele identifier is (1 06 nummer verhoud zich vaak tot 1 persoon) welke vaak een sterkere binding tussen personen aangeeft dan bijv. beide dezelfde pagina liken.

---

In soortgelijke fashion, een tijdje terug de heisa rondom Apple OCSP (Online Certificate Status Protocol). Apps op MacOS zijn signed met een certificaat waar bij het openen de geldigheid van wordt gecontroleerd tegen de servers van Apple. Hierbij zouden zij gegevens doorkrijgen van welke app en jouw IP. (Het geheel is genuanceerder dat weet ik, zie: https://blog.jacopo.io/en/post/apple-ocsp/). Dat klinkt vrij onschuldig toch? Wat kunnen ze met een App ID en een IP-adres? Niks.

Totdat je het vaker doet, over verschillende tijden, vanaf verschillende locaties. Als jij tussen 9:00-17:00 bepaalde apps (zeg Photoshop, InDesign, Chrome) opent vanaf IP-A en in de avond Netflix, Spotify, Chrome vanaf IP-B. Dan valt met reverse Geo-IP redelijk te bepalen waar je werk en thuis zijn. Gecombineerd met bijv. Maps data, kan dit mogelijk zelfs worden herleid tot bij welk bedrijf je werkt. Door de IP-adressen waarmee je incheckt bij te houden evenals wanneer, vallen ook je reisbewegingen en slaapritmes te herleiden.


Plotseling is dat kleine beetje data dat je dacht weg te geven, lang niet zo onschuldig meer.

---

Overigens vind ik het zeer bijzonder dat Facebook nu pas 2FA verplicht voor dat soort accounts.
idd. Daarom telkens de discussie dat privacy makkelijker kwijt te spelen is dan te behouden. Want zelfs nu weer wordt alles initieel met de beste bedoelingen gedaan (niets mis met 2FA an sich).
Maar 'connect the dots' is gewoon te makkelijk om niet te doen... ook zou het niet mogen / mag het niet.

Daarom: je ID of telefoonnummer achterlaten bij een 'connect all dots' bedrijf als FB....not good. :|

Daarom zijn mailadressen beter - want daarvan kun je er meerdere hebben en die kun je laten vervallen. Helaas in de bescherming daarvan soms dan weet niet zo sterk.
Die eerste ga ik deels in mee. Dat was een ‘foutje’, en hoe meer data je afgeeft hoe meer impact die foutjes. Lijkt mij helder.

Maar stel dat fb mijn nummer heeft en weet dat ik katten leuk vindt.
Vervolgens koop ik hondenvoer en laat m’n telefoonnummer achter bij die webwinkel. Ik zie niet hoe fb dat aan mij kan koppelen, aangezien ik die data naar hondenvoer.nl geef. Zelfs al zou die site een ‘vind-ons-leuk-linkje’ hebben?
Facebook kan bijvoorbeeld data in bulk opkopen, maar ik vermoed dat als er zo'n knop staat inderdaad alles kan worden doorgestuued naar Facebook
Je kijkt hier teveel naar 1 datapunt. Namelijk je telefoonnummer. Facebook heeft echter véééél meer data van je dan dat. En dat is de crux van het verhaal. Als jij je telefoonnummer aan hondenvoer.nl geeft kan Facebook daar inderdaad niet bij. Maar dat hoeven ze ook helemaal niet. Zij hebben genoeg andere identifiers (tracking cookies, IP-adres, browser fingerprinting) om die link te leggen dat jij op hondenvoer.nl geweest bent.

Om dat dan terug te leiden naar je telefoonnummer, zie mijn andere comment. Facebook weet nu dat jij hondenvoer leuk vindt buiten je telefoonnummer om. Maar kan het telefoonnummer dat jij hebt gebruikt voor 2FA wel koppelen aan de telefoonboeken van vrienden. Dat zou ertoe kunnen leiden dat Facebook de aanname maakt dat jouw vrienden mogelijk van honden(voer) houden omdat ze bevriend zijn met jou. Met als gevolg dat zij jouw vrienden ook weer met advertenties kunnen bestoken daarover.

Hierdoor wordt jouw telefoonnummer, dat jij voor 2FA hebt opgegeven aan Facebook, toch gebruikt om advertenties te targetten aan mensen. Niet omdat jij hem aan hondenvoer.nl hebt gegeven, maar doordat je het aan Facebook heeft gegeven, onwetende wat ze er verder mee doen.
Je kijkt hier teveel naar 1 datapunt. Namelijk je telefoonnummer
Daar gaat dit specifieke draadje ook over.

We kunnen allerlei andere zaken erbij halen, maar men doet alsof het toevoegen van je telefoonnummer aan je account zo ongelofelijk erg is, terwijl in mijn beleving het in de praktijk heel weinig toevoegt. FB heeft je telefoonnummer in mijn beleving helemaal niet nodig om een bijzonder goed adverteringsprofiel te maken.
Weet je het echt niet, ben je naief, of wil je het niet weten 🤔

In de meeste gevallen is telnr <=> whatsapp.
Dan heb je en de info van Facebook, als je via de site inlogt ipv app zijn er altijd minder gegevens,
echter wanneer je je nr gaat weggeven,

https://www.forbes.com/si...ram-privacy-backlash/amp/

Heeft het netjes voor je opgesomd 🙂

Daarnaast is Facebook een VS-bedrijf en kan het ten alle tijden informatie opeisen van van bedrijven die aldaar gevestigd zijn door de cloud-act,
https://en.m.wikipedia.org/wiki/CLOUD_Act
Nadat Microsoft een aanklacht wou indienen tegen de staat ivm buitenlandse data hebben ze deze wet er doorheen gejaagd.


Als het veilig moet zijn en het zijn punten die gevoelig kunnen liggen voor de VS,
blijf dan ver van Facebook + whatsapp.
Waar ik op doel is hetvolgende.
Het feit dat Facebook je telefoonnummer heeft, maakt niet dat zij ineens extra relevante informatie hebben voor adverteerders.

Of je telefoonnummer nou eindigt op 123 of op 987, zal een adverteerder niets interesseren.

Meta zegt dat ze de Whatsapp data niet correleren aan de Facebook data (dat hadden ze op het laatste moment teruggedraaid). Laten we er vanuit gaan dat ze de waarheid spreken.

Veel gebruikers zullen hun contactenlijst gekoppeld hebben aan de Facebook app. Daar staan namen in. Eventueel met adres. Dat is al meer dan voldoende om iemand z'n bubbel te maken. Het al-dan-niet toevoegen van je telefoonnummer aan je Facebook-account (waar dit hele draadje over gaat) voegt dan onder aan de streep echt heel erg weinig toe daar aan. Het maakt het hooguit wat makkelijker, maar het is niet zo dat ze ineens veel minder relevante data hebben om dat te doen.
Er zijn meer manieren om 2FA te doen bij FB.
Je kan ook TOTP of Yubikeys e.d. gebruiken.
klopt ja, maar we weten ook wel als techneuten dat het gros daar niet naar omkijkt, telefoonummer opgeven en door....dat is makkelijk.
IMHO is TOTP de enige (gangbare) privacy vriendelijke methode. 2FA via SMS, via een app etc. kan allemaal gebruikt worden voor tracking.
Ik vind persoonlijk een (NFC) yubikey (of iets dergelijks) fijner werken. Met TOTP zit je toch alweer dat je steeds een app moet openen of overtypen. Er zijn natuurlijk mechanismen die het geautomatiseerd doen.

De doelgroep waar het over gaat zijn natuurlijk ook specifieke groepen mensen als nieuwsmakers, politici, enz. Ik denk/verwacht dat zij sowieso wel een beetje gewend zullen zijn aan dergelijke mechanismen.
2FA werkt bij Facebook met een authenticator app en seed, niet via een sms. Ik gebruik Microsoft Authenticator, maar je kunt ook die van Google of een 3e partij gebruiken.
SMS is nog steeds een optie voor 2FA bij Facebook: https://nl-nl.facebook.com/help/148233965247823

Of het ook voor Facebook Protect-accounts zo is weet ik niet, dat kan ik zo 1-2-3 niet opmaken uit het bericht en na een korte Google zoektocht.. Maar als het zo is dan is dat m.i. wel een zwak punt.
Het verbaast me dat dit niet al eerder is gedaan. Het is al een lange tijd verplicht om 2fa in te stellen als je admin bent van een (grote) pagina.
2fa is ook niet heilig....
Je kunt een aardig probleem hebben wanneer je je telefoon / telefoonnummer / mail adres / ... kwijt raakt...
Ja, dan kan je niet posten, wat vele malen beter is dan wanneer een kwaadwillend persoon wél kan posten.
Bij Facebook zal het in veel gevallen inderdaad niet veel erger zijn. Tenzij je bijvoorbeeld ook je helpdesk via Facebook laat lopen. Dan heb je misschien wel (zakelijke) klanten die wachten op antwoorden. Als je dan een week niet in Facebook kan komen is het toch wel iets erger.

Maar ook is Facebook niet de enigste met 2fa. Ik heb bijvoorbeeld problemen dat ik van PayPal geen sms ontvangt en het tegenwoordig nodig is om betalingen te kunnen doen. Ben al een tijd bezig geweest met ze maar nog steeds geen oplossing. Hun zeggen dat het niet aan hun ligt want andere hebben geen problemen, T-mobile zegt dat het niet bij hun ligt want ik ontvang wel sms'en en het ligt niet aan mijn telefoon want me simkaart in een andere zo goed als nieuwe uit de doos telefoon ontvang ik ook niets. Gelukkig gebruik ik het bijna nooit maar het had dus serieuze problemen kunnen hebben omdat het toch om geld gaat. Niet dat ik zeg dat 2fa bij geldzaken verkeerd is maar uit kunnen zetten bij problemen is wel handig dus.
Niet dat ik zeg dat 2fa bij geldzaken verkeerd is maar uit kunnen zetten bij problemen is wel handig dus.
Of, wat veel beter is, niet bouwen op één 2fa methode die ook nog eens al bewezen minder goed beveiligt dan veel alternatieven.
Het probleem met Paypal sms’jes en tmobile had ik jaren geleden (2018) ook al!

Toen gaf Tmobile de schuld aan Paypal, die “misbruik” maakte van goedkope simkaartproviders voor het versturen van sms’jes. Vond het een vaag verhaal, maar toendertijd overgestapt naar een andere provider.
Helaas gaat overstappen voor mij niet zo makkelijk. Me werk heeft me privé nummer bij hun als werk account gezet zodat ik geen telefoonrekening meer hoeft te betalen. Is een extraatje omdat ik vanwege me uitkering geen opslag kan krijgen.
Resetten van 2FA wil nog wel eens een kriem zijn wanneer het slecht geïmplementeerd is. Soms is daar een self-service voor, maar vaak is dat er niet. Dan ben je afhankelijk van anderen. Tot die tijd kan je dus niet inloggen en moet je wachten op de support afdeling voordat zij jouw 2FA gereset (verwijderd) hebben en daar kan best een tijd overheen gaan soms.
De reden van het invoeren van een 2FA is ook niet ter bescherming van de gebruiker. Het gaat erom dat het moeilijker wordt voor ongewenste individuen om toegang krijgen tot een account waar zij geen toegang voor zouden moeten krijgen. Door dit tegen te gaan worden het aantal ongewenste acties op het platform sterk verminderd. In die zin werkt het middel uitstekend.
De reden van het invoeren van een 2FA is ook niet ter bescherming van de gebruiker. Het gaat erom dat het moeilijker wordt voor ongewenste individuen om toegang krijgen tot een account waar zij geen toegang voor zouden moeten krijgen. Door dit tegen te gaan worden het aantal ongewenste acties op het platform sterk verminderd. In die zin werkt het middel uitstekend.
Ben ik toch even benieuwd:
Het gaat erom dat het moeilijker wordt voor ongewenste individuen om toegang krijgen tot een account waar zij geen toegang voor zouden moeten krijgen.
Hoe is dit dan geen bescherming van (de integriteit van) het account en dus de gebruiken? :?
Door dit tegen te gaan worden het aantal ongewenste acties op het platform sterk verminderd. In die zin werkt het middel uitstekend.
Ik vind dit in elk geval een wat vreemde redenatie, dat 2FA het platform beschermt door ongewenste acties te verminderen. Wellicht heb je juist meer acties nu, doordat men nu steeds wel probeert, maar door de 2FA tegen een muur aan loopt en de extra controle stap dus elke keer gecontroleerd moet worden... ;) Minder acties zullen het dus nooit worden, als je 2FA hebt. ;)

[Reactie gewijzigd door CH4OS op 3 december 2021 10:19]

Hoe is dit dan geen bescherming van (de integriteit van) het account en dus de gebruiken? :?
Ik heb ook niet gezegd dat het geen bescherming van het account is, dat is het namelijk wel.

In mijn bericht had ik het erover dat Facebook het 2FA niet invoert om de persoonlijke belangen van de eindgebruiker te beschermen maar juist die van het platform.

Zij voeren dit in om de accounts beter te beschermen waardoor het platform als een geheel beter is beschermd tegen ongewenste content of kwaadaardige acties. Niet de specifieke gebruiker.
Ik vind dit in elk geval een wat vreemde redenatie, dat 2FA het platform beschermt door ongewenste acties te verminderen. Wellicht heb je juist meer acties nu, doordat men nu steeds wel probeert, maar door de 2FA tegen een muur aan loopt en de extra controle stap dus elke keer gecontroleerd moet worden... ;) Minder acties zullen het dus nooit worden, als je 2FA hebt. ;)
Ik merk dat het woord "ongewenst" enigzins open staat voor een eigen interpretatie. Wat houdt ongewenst in?

Misschien had ik hier beter het woord "kwaadaardig" kunnen gebruiken. Hierin zit nog steeds ruimte voor eigen interpretatie maar misschien komen we met dit woord dichter bij elkaar in de buurt. In mijn ogen zijn dit acties die het platform bevuilen en openlijk of onderwater schade toe dienen. Een extra validatie valt hier dus niet onder.

[Reactie gewijzigd door Kvanhemert op 3 december 2021 14:01]

Om die reden heb ik mijn 2FA codes in een app (Authy), op meerdere apparaten die weer synchroniseren met elkaar. Het is vrijwel onmogelijk om mijn 2FA codes te verliezen.
2FA is ook een heel slecht idee op je telefoonnummer, en in mindere mate een mail adres. Weet niet wie dat ooit verzonnen heeft. Zoals andere als @joeri1 zeggen, gebruik een app die je kunt syncen tussen trusted devices. Ik gebruik bijv. Bitwarden (desktop, mobiel), en mijn backup codes (altijd genereren!) staan weer ergens anders. Gebruiksvriendelijk is weer een andere verhaal maar dat is altijd een issue met dit soort dingen.
Ja allesbehlanve heilig. big tech misbruiken die 2FA aanbeveling ook om je telnummer te verkrijgen of een tracking app op je mobiel te installeren (google)

Google beperkt je bewust in opties zodat je eerst je telefoonnummer afstaat. Meer data voor hen om je te tracken
Komt er ook een protect programma voor mensen die geen Facebook gebruiken? Maar waarvan wel de info word verzameld in “Metaverse”.
Dat zou vereisen dat ze toegeven dat ze schaduwprofielen opbouwen voor alles en iedereen, die kans acht ik klein, net zoals ze niet toe willen geven dat de app altijd meeluistert en advertenties heel gericht getoond worden op keywords uit wat je bespreekt met de app in de buurt. Zijn beiden dingen die heel makkelijk te bewijzen zijn, al vaker door onderzoekers aangetoond zijn, maar die Facebook nog altijd niet heeft toegegeven.
Installeer gewoon een goede adblocker; dat alles client-side uitvoeren blokkeert. Meer dan "IP" tracking kunnen ze niet en dat maakt echt nog niet wijzer uit wat ik op internet doe dan behalve een website bezoeken.
Meta roept natuurlijk met name cynische reacties op maar het is toch ook fijn dat ze hun cash cows gebruikers proberen te beschermen.
Want nu hebben ze ook de telefoonnr’s toch 😄 Kun je ze nog beter koppelen met de whatsapp 👀
Het lijkt me goed (en logisch) dat mensen met een blauw vinkje achter hun naam (zogenoemde officiële accounts) verplicht 2FA aan moet hebben staan.

Los van dat ik facebook (schuilnaam Meta) echt een gedrogt vind kan ik dit soort ontwikkelingen alleen maar toejuigen.
Goh, ik vraag me af waarom ze een probleem zouden hebben met zo'n opmerking. Ben benieuwd of er in hun ToS iets staat over zulke opmerkingen... 🤔

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True