L’autenticazione a due fattori rappresenta uno strumento importante per la sicurezza degli utenti, essa prevede infatti che in fase di login si utilizzi anche il proprio dispositivo come credenziale per l’accesso. Si tratta di un sistema grazie al quale un iscritto potrà farsi riconoscere in modo univoco da una piattaforma tramite, ad esempio, un numero di telefono.
Anche Facebook da la possibilità di sfruttare l’autenticazione a due fattori, ma secondo il ricercatore di sicurezza Gabriel Lewis quest’ultima verrebbe utilizzata dai gestori del Sito in Blue per scopi non direttamente collegati alla tutela degli account. In sostanza egli avrebbe accusato Menlo Park di sfruttare i recapiti telefonici così ottenuti per inviare spam.
Lewis avrebbe infatti notato che il Sito in Blue utilizzerebbe il medesimo numero di telefono da lui registrato per l’autenticazione a due fattor per inviargli informazioni riguardanti le condivisioni dei suoi contatti. In questo caso si potrebbe parlare tranquillamente di una funzionalità sfruttata per scopi diversi da quelli per la quale è stata implementata.
Indagando sulla questione l’ingegnere avrebbe poi scoperto che rispondendo agli SMS ricevuti da Facebook il testo digitato verrebbe pubblicato automaticamente nel profilo pubblico. Quanto descritto sarebbe stato confermato anche da altri utenti che non avrebbero mai autorizzato il sistema ad inviare loro notifiche tramite SMS.
Secondo alcuni analisti, comportandosi in questo modo Mark Zuckerberg e soci starebbero agendo in violazione di quanto previsto dal Telephone Consumer Protection Act, normativa che stabilisce esplicitamente come un’azienda non possa spedire alcun tipo di messaggio non richiesto ai propri utenti. Se confermate, le accuse di Lewis potrebbero quindi avere conseguenze legali per Facebook.