Primeiro o Facebook e agora o Twitter. Esta semana o Twitter admitiu que permitia aos profissionais de marketing aceder aos números de telefone dos utilizadores registados no site. Muitos deram os seus números para ficarem com a autenticação de dois fatores (2FA) – o processo em que um site envia uma mensagem de texto para verificar a sua identidade. No entanto, os utilizadores não perceberam que também estavam, assim, a permitir que profissionais de marketing confirmassem quem eles eram. A partir da identificação, estes profissionais podem criar perfis de publicidade que incorporam nos dados de cada utilizador.
A prática assusta muitos já que os números de telefone tornaram-se ferramentas poderosas para nos identificar e rastrear, não apenas para empresas, mas para quem deseja procurar as nossas informações pessoais armazenadas numa infinidade de registos públicos, como registos de tribunais, registo de eleitores, transações imobiliárias e registos de casamento.
A utilização das SMS para cenários de autenticação é mesmo desaconselhada pelos especialistas e estão fora das melhores práticas da indústria, como nos explicava o programador João Pina sobre a renovação do Cartão de Cidadão online.
Hoje é o dia que os bancos são obrigados a ter implementado a diretiva PSD2 para supostamente serem mais seguros.
Hoje vão sair imensas notícias sobre isso.
Hoje é mais um dia onde vamos ler coisas completamente erradas.As SMS não são seguras e não são completamente compliant. pic.twitter.com/6uQpMAK5Z9
— Tomahock (@tomahock) September 14, 2019
O Twitter explicou que o que aconteceu foi um erro inadvertido e que já foi resolvido. A admissão não é novidade. O Facebook já tinha admitido usar indevidamente os números de telefone para segmentação de anúncios há cerca de um ano. “Para muitas pessoas, a autenticação de mensagens de texto é uma proteção razoável, que gera uma sensação de segurança”, diz Gennie Gebhart, investigadora em privacidade e segurança do consumidor na Electronic Frontier Foundation à Fast Company.
Felizmente, existem outras maneiras de proteger as suas contas online, sem deixar o número de telefone. O Facebook, o Twitter e a maioria dos sites permitem um segundo método 2FA que utiliza uma aplicação gratuita para gerar códigos de curto prazo para inserir no site e verificar a sua identidade, da mesma forma que funciona o código que lhe foi enviado por mensagem de texto.
Google, LastPass e Microsoft também fornecem aplicações autenticadoras gratuitas para Android e iOS – mais recentemente foi a Apple a preparar uma solução que não envolve SMS. E os gestores de passwords como 1Password e Dashlane também incorporam uma função 2FA.
E se ainda precisar de um número de telefone?
Enquanto a maioria dos sites permite aplicações autenticadoras, alguns ainda estão bloqueados aos números de telefone. Mas há outra opção: em vez do número do seu telemóvel, forneça um número do Google Voice.
Há anos que a Google permite que as pessoas obtenham números de telefone virtuais gratuitos que podem receber chamadas e textos assim como um número real (pode aceder on-line ou encaminhar mensagens para outro telefone). O uso deles é uma ótima maneira de reduzir as chamadas telefónicas de spam e também garantir que a empresa não obtenha o seu número real para sempre (Um Gmail dedicado para spam é outra boa ideia).
No entanto, a Google exige um número de telefone real para realizar a sua inscrição no Google Voice. Mas se preferir, pode excluir o número nas suas definições, depois de configurar o serviço, embora isso signifique que não poderá ter as mensagens ou as chamadas encaminhadas para esse número. Ao contrário do Facebook, a Google afirma, pelo menos, que irá atender às solicitações dos utilizadores para excluir os seus dados.
De qualquer forma, quando preferir que alguma empresa tenha o seu número real, preste atenção aos bancos. Os bancos podem oferecer suporte a aplicações autenticadoras para 2FA ou trabalhar com um número do Google Voice.
Facebook vai mesmo esconder ‘gostos’. Austrália é o primeiro mercado
