Het was even stil rondom Facebook, maar het bedrijf ziet zich in een nieuw privacyschandaal geplaatst. Telefoonnummers die bedoeld zijn om accounts te beveiligen, worden voor heel andere doeleinden gebruikt.

Foto REUTERS

Zonder dat een gebruiker Facebook toestemming heeft gegeven zijn telefoonnummer voor advertenties te gebruiken, gebeurt dat toch. Dit blijkt uit onderzoek van techblog Gizmodo in samenwerking met onderzoekers van de Northeastern Unverisity en Princeton University. Dat kan op verschillende manieren gebeuren. De eerste truc die Facebook toepast om zijn adverteerders zo gericht mogelijk mensen te bereiken, is een bijzonder opvallende: het bedrijf misbruikt hiervoor gegevens die zijn gebruikers hebben gegeven om hun account beter te beveiligen.

Via deze zogenoemde tweetrapsverificatie is het mogelijk te voorkomen dat onbevoegden inloggen op een onbekend apparaat, ook al hebben ze de beschikking over gebruikersnaam en wachtwoord. Als extra horde krijgt de echte gebruiker op zijn mobiel een berichtje met de vraag of het klopt dat iemand probeert in te loggen op een ander apparaat. Tot een paar maanden terug was het verplicht om hiervoor een telefoonnummer aan Facebook over te dragen. Die controle kan ook op andere manieren en deze verplichting is er inmiddels niet meer. Maar het kwaad is al geschied: mensen die hun telefoonnummer wél aan Facebook hebben gegeven in de veronderstelling dat hun account hiermee beter beschermd wordt, blijken hiermee tegelijk in een adverteerdersfuik terecht te komen.

Succesvol

Facebook is de laatste jaren buitengewoon succesvol geweest met zijn advertentiemodel. De kunst is om adverteerders zo specifiek mogelijk doelgroepen te laten bereiken. Hoe gerichter de informatie over potentiële klanten, hoe meer geld adverteerders bereid zijn te betalen aan Facebook. Dat gaat als volgt. Een adverteerder – zeg een kledingwinkel – uploadt alle informatie die hij zelf van zijn klanten heeft. Mailadressen, geboortedata, woonplaats, noem maar op. En ook telefoonnummers. Deze informatie wordt gekoppeld aan de informatie die Facebook heeft. Zodra er een match is, kan Facebook bij de juiste persoon een advertentie tonen.

Het probleem: Facebook-gebruikers hebben deze informatie helemaal niet gedeeld voor dit doel. Ze zijn er vaak ook niet bewust van. ‘Dus gebruikers die willen dat hun accounts veiliger zijn, worden gedwongen een privacyafweging te maken en geven adverteerders zo de mogelijkheid hen gemakkelijker terug te vinden op het sociale netwerk’, schrijft Gizmodo.

Meer manieren

Het is niet de enige manier waarop Facebook informatie achterhaalt. Een andere methode is de zogenoemde schaduw-contactinformatie. Dit zijn de gegevens die Facebook krijgt doordat gebruikers hun contactinformatie delen met het netwerk. Dat kan ook een telefoonnummer zijn. Gebruiker A deelt zijn contacten met Facebook. Hierin staat het telefoonnummer van gebruiker B. Vervolgens gebruikt Facebook dit nummer van gebruiker B om dit te koppelen met informatie die het van adverteerders krijgt. Op die manier komt de online en offline wereld bij elkaar, zonder dat gebruiker B ooit zijn nummer met Facebook heeft gedeeld. Hoofdonderzoeker Giridhari Venkatadri noemt deze truc nog de meest verrassende.

Facebook betwist de bevindingen niet. In een formele verklaring stelt het bedrijf dat deze informatie wordt gebruikt ‘om een meer gepersonaliseerde ervaring te bieden, waaronder het tonen van relevantere advertenties’. Verder stelt een woordvoerder dat mensen in hun instellingen kunnen aangeven dat ze tweetrapsverificatie willen gebruiken zonder telefoonnummer. Maar dat vereist dus een actie van de gebruiker. Bij de schaduw-contactinformatie speelt een ander probleem.

Wie wil weten welke informatie Facebook van hem weet via het gedeelde adresboek van een kennis, komt van een koude kermis thuis. Privacywetgeving verbiedt Facebook dit: ‘Mensen zijn eigenaar van hun adresboek. Dit kan betekenen dat een andere persoon niet in staat zijn eigen contactgegevens in te zien die iemand anders van hen uploadt.’ Klant A deelt dus de gegevens van klant B met Facebook, maar klant B krijgt niet te horen wat Facebook precies van hem weet.

Uitweg

Onderzoeker Alan Mislove denkt echter dat er wel degelijk een uitweg is uit deze impasse. Facebook zou zijn platform veel transparanter moeten maken door al zijn gebruikers exact te laten zien welke informatie het over hen heeft en hoe die wordt gebruikt. Facebook zelf benadrukt dat het de laatste tijd al veel heeft gedaan op dit vlak. In april gaf Facebook bijvoorbeeld al meer tekst en uitleg over ‘deze moeilijke vragen’. Hierin wordt echter niet ingegaan op de methoden die nu door Gizmodo zijn onthuld.