Twitter utilizó los números de teléfono de 2FA para publicidad personalizada

Credit to Author: Naked Security| Date: Fri, 11 Oct 2019 11:20:40 +0000

¿Conoce Twitter tu dirección de correo electrónico y tu número de teléfono? Dependiendo de cuánto tiempo hace que comenzaste a usar Twitter, es casi seguro que la empresa tiene al menos uno de ellos, la dirección de correo electrónico, porque las personas a menudo la dan al registrarse.

En cuanto a los números de teléfono (generalmente números de teléfono móvil), se introducen para habilitar la seguridad de la autenticación de dos factores (2FA) de Twitter.

Decimos esto porque Twitter admitió que podría haber entregado “inadvertidamente” esta información de algunos usuarios a los anunciantes como parte del sistema de Audiencias Personalizadas de la empresa que apunta a los feeds de los usuarios con anuncios.

Como disculpa, esta no es satisfactoria, especialmente si te gusta Twitter pero crees que los anuncios “personalizados” pueden ser intrusivos:

Lamentamos mucho que esto haya sucedido y estamos tomando medidas para asegurarnos de no cometer un error como este nuevamente.

Twitter pasa por alto algunos de los detalles, así que expliquemos cómo se supone que funcionan las Audiencias Personalizadas.

Bien segmentado

Como muchos usuarios de Twitter ya sabrán para su disgusto, Twitter publica anuncios en los feeds de sus usuarios en forma de Tweets promocionados.

El anunciante inicia sesión en su cuenta publicitaria, elige el grupo demográfico de Twitter al que quiere llegar (país, idioma, tipo de dispositivo, género y personas que han tuiteado sobre temas que le interesan al anunciante). El anuncio aparece en el feed de los usuarios que cumplen con estos criterios.

Sin embargo, la admisión de Twitter se relaciona con un segundo tipo de segmentación que suena increíblemente similar a lo que acusaron que hacía Facebook hace un año, lo que permite a los anunciantes hacer coincidir los datos de Twitter con sus propias bases de datos no solo para orientar los usos sino, hipotéticamente, también para identificarlos.

Lo que Twitter describe como “inadvertido” se describe de manera bastante explícita en su sitio web en una página para anunciantes.

El anunciante inicia sesión en su cuenta publicitaria, esta vez cargando su propia lista de usuarios que luego se compara con los usuarios de Twitter con las mismas direcciones de correo electrónico y números de teléfono móvil (también se pueden usar identificadores de publicidad de Android o iOS e identificadores de Twitter).

Entonces, cuando el anuncio aparece en el feed de alguien, se coloca allí porque el anunciante ya sabe algo sobre esa persona y cree que el mensaje será mejor recibido.

Twitter lo reconoce

Twitter dijo que, a partir del 17 de septiembre, ya no permitía el acceso a números de teléfonos móviles o direcciones de correo electrónico (estos últimos aún pueden ser utilizadas por otros usuarios de Twitter para buscarlos a menos que desactive esa función).

No podemos decir con certeza cuántas personas se vieron afectadas por esto, pero en un esfuerzo por ser transparentes, queríamos que todos fueran conscientes. Nunca se compartieron datos personales de forma externa con nuestros socios o terceros.

Por supuesto, el hecho de que Twitter no permitiera a los anunciantes ver números de teléfono y direcciones de correo electrónico es discutible si los anunciantes pueden inferir esto haciendo coincidir sus bases de datos con las suyas.

La implicación de los números de teléfono introducidos ​​por los usuarios para habilitar la seguridad es lamentable, pero no recomendamos eliminar estos datos en caso de que resulten útiles en caso de que sea necesaria una recuperación de la cuenta.

Twitter no tiene planes de decirles a los usuarios si son parte de este mini-escándalo. Por ahora, los usuarios que quieran saber más deben comunicarse con la empresa a través de su página de consulta de protección de datos.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY

Leave a Reply