Sikerült bizonyítani a kutatóknak, hogy a Facebook a felhasználók telefonkönyve alapján a rendszer számára korábban elméletileg ismeretlen számokat (a köznyelvben "shadow contact information") is képes konkrét felhasználókhoz, és ezáltal a hirdetőkhöz kötni reklámcélzások érdekében. A Northeastern Egyetem két kutatója, Alan Mislove és Piotr Sapiezynski, továbbá a Princeton Egyetem részéről Elena Lucherini a vizsgálat során a személyek azonosítására képes információk (PII) facebookos forrásait igyekezett megfejteni, például az adatlapokon egyébként nem szereplő telefonszámokat, email címeket, neveket és születési dátumokat. A Sciendóban ismertetett kutatás végül sikerrel is járt, és többek közt olyan módszert is felfedett, amelyet a közösségi óriás régóta tagad.

Egyik információszerzési forrás, mikor a felhasználó megadja a telefonszámát a kétfaktoros hitelesítéshez vagy új eszközön történő belépésnél az értesítések kéréséhez. Ebben az esetben a felhasználó megadott telefonszámon keresztül már néhány héten belül reklámokkal célozható lesz a hirdetők számára. A Gizmodónak nyilatkozó szóvivő ezt a módszert tulajdonképpen nem is leplezte, közlése szerint a vállalat a felhasználók által megadott információkat igyekszik a személyre szabott szolgáltatásokhoz felhasználni, köztük akár a releváns hirdetések megjelenítéséhez. Ez azonban a szóvivő szerint elkerülhető, ha a felhasználó nem a telefonszámát regisztrálja a kétfaktoros azonosításhoz.

Az EFF (Electronic Frontier Foundation) figyelmezteti a felhasználókat, hogy a Facebook elítélendő gyakorlatától függetlenül továbbra is erősen ajánlott a kétfaktoros azonosítás használata, akár egyéb adatok megadásán keresztül, amelyre egyébként csak néhány hónapja van lehetőség. Azonban az alapítvány szerint a közösségi óriásnak kellene változtatni a gyakorlatán, hogy ne sértse meg a biztonsági és adatvédelmi elvárásokat, és ne éljen vissza a felhasználói bizalmával a hirdetők érdekében.

Léteznek az "árnyékkapcsolati" adatok



Ennél viszont sokkal megdöbbentőbb és valóban az árnyékprofilozás elméletét támasztja alá, hogy ha a felhasználó megadja a kapcsolati információit a Facebooknak (például hogy megtalálja az ismerőseit az oldalon), köztük a cég számára egy korábban ismeretlen telefonszámmal, a hirdetők akkor is rövid időn belül képesek lesznek a telefonszám tulajdonosát hirdetésekkel célozni. Az egyetemi kutatók tesztelték is a módszert, feltöltötték a Northeastern University több száz vezetékes telefonszámának listáját a rendszerbe, amely az egyetemi munkatársakhoz tartozik, de valószínűleg nem adták meg maguktól Facebooknak. Másrészről viszont a telefonszámokat más felhasználók elmenthették a saját telefonkönyvükbe, és így a cég tudomást szerezhetett róla. Végül a kutatóknak sikerült is bizonyítani, hogy a telefonszámok nagy része célozható a hirdetésekkel, és a reklámok meg is jelentek a felhasználó hírfolyamában - annak ellenére, hogy ő maga nem adta meg a rendszernek a munkahelyi számát.

Telefonszámok feltöltése a kutatási folyamat részeként



A történtekről mit sem sejtő felhasználó viszont nem férhet hozzá a saját "árnyékkapcsolati" információihoz, nem tekintheti meg vagy törölheti azokat, mert azzal a Facebook álláspontja szerint a kapcsolati adatait megosztó felhasználót sértené - írja a Gizmodo. A cég szóvivője szerint a felhasználók birtokolják a saját címjegyzéküket, és "néhány esetben ez azt jelenti, hogy más személyek nem képesek kezelni az egyébként velük kapcsolatban feltöltött információkat". Mindez viszont a GDPR-ba ütköző módszer, hiszen a rendelet kimondja, hogy az európai uniós állampolgároknak hozzá kell férni minden róluk tárolt információhoz a rendszerben. A Digital Strategy alapítója, Rob Blackie például hónapokkal ezelőtt kérte a saját árnyékinformációit a cégtől, de a Facebook válasza szerint ez a bizalmas algoritmus része, amelyet a vállalat nem akar megosztani.

Bár a felhasználók nem láthatják, hogy a Facebook milyen információikat használja fel a célzásokhoz, de a hirdetési beállításokban megtekinthetők a "hirdetők, akikkel érintkezésbe léptél" menüpontban. Azaz, hogy mely cégeknek vannak meg a felhasználó saját adatai a címjegyzékükben, amelyet jobb esetben magától adott meg valamilyen kampány során. Az viszont nem egyértelmű, hogy ezeknek a hirdetőknek pontosan milyen információk vannak meg a felhasználóról, például melyik email címe vagy telefonszáma. Ha ezt az információt a cég megmutatná, akkor abból az is látszana, hogy a hirdetőknél meglévő információk közül melyek az "árnyékadatok", amiről így a Facebook is tudomást szerzett. Ebben a formában viszont a közösségi óriás elég sok írott és íratlan szabályt megszeg, és csak üres ígéretként hangoztatja, hogy a felhasználók számára átláthatóan megmutatja a róluk elérhető információkat.