Wie zijn account wil beveiligen, kan naast een wachtwoord ook een sms-bericht krijgen met een unieke code. Zo'n beveiliging heet tweestapsverificatie, two-factor authentication of kortweg 2FA. Facebook liet altijd uitschijnen dat dit nummer enkel werd gebruikt voor beveiligingsdoeleinden. Wie dus liever niet gevonden werd via zijn of haar nummer, kon wel zonder zorgen 2FA gebruiken. Dat blijkt nu een leugen.

De Australiër Jeremy Burge stelde afgelopen weekend op Twitter vast dat dit intussen niet meer klopt. In de privacy-instellingen van Facebook merkte hij dat het nummer, afhankelijk van je instellingen door iedereen, vrienden van vrienden of je eigen vrienden kan worden opgezocht. Je 2FA-telefoonnummer volledig onzichtbaar maken is niet mogelijk.

Dat Facebook graag gebruikers identificeert op hun nummer is geen verrassing. Een telefoonnummer is immers een veel unieker identificatiegegeven dan pakweg een e-mailadres of je eigen naam. Maar Facebook heeft er wel over gelogen. Het bedrijf beloofde aanvankelijk dat een telefoonnummer dat werd gebruikt voor 2FA niet zou worden gebruikt voor andere doeleinden. Het bedrijf heeft dus telefoonnummers bemachtigd met veiligheid als excuus.

De vaststelling van Burge kan op heel wat ongenoegen rekenen. Ook Alex Stamos, voormalig hoofd veiligheid bij Facebook, veroordeelt de praktijk en zegt dat het bedrijf een scheiding moet maken tussen security enerzijds en zoekfuncties en advertenties anderzijds.

In een reactie aan Techcrunch zegt Facebook dat de instellingen op zich niet nieuw zijn en dat het de feedback waardeert. Of het van plan is om de vermenging weer te stoppen, zegt het bedrijf niet.

Het is niet de eerste keer dat Facebook wordt betrapt op privacyschending met telefoonnummers, of het misleiden van gebruikers. In september 2018 stelden onderzoekers vast dat het nummer dat je gebruikt voor 2FA ook kan gebruikt worden door adverteerders om zeer gericht te adverteren. Meer nog: als vrienden jouw nummer in hun telefoonboek hebben, en ze geven Facebook daar toegang toe, dan koppelt Facebook dat aan jouw profiel.