脸书2fA手机号码可能让用户被任何人搜出来，而且关不掉
继去年被发现将用户在双因素验证页面（2fA）输入的电话号码，提供给外部广告主之后，
又有研究人员揭发脸书用户在2fA机制输入的电话，其实可被第三者搜寻到，而且这项功能
无法关闭
脸书总是不时提醒你输入手机号码提供双因素验证（2 Factor Authentication，2FA）多一
份保障，但是Techcrunch引述名为Jeremy Burge的研究人员推特揭露，一旦用户输入电话号
码，反而可让其他人搜寻到，而且这项功能是关不掉的。
根据脸书的说明页，使用者可将这支电话号码隐藏起来让其他人看不见，但其实所有第三者
还是可用这支电话号码搜寻到它的持有人，等于让自己的隐私门户洞开。脸书并不提供用户
关掉这项功能的选择，最多只能限制在亲近的朋友圈。
另外，Burge还指出，脸书还会把这电话号码分享给WhatsApp和Instagram。它会出现对话框
“这是你的电话号码吗？”，一旦使用者确认，也就将这号码分享给旗下另一个网站。
脸书一开始要求用户输入电话号码的对话框也只说明是用来启动2fA安全机制，后来才加入
“See More”连结说明这项资讯的其他用途。根据脸书老是把用户个资分享给广告主的经验
，这个2fA资讯为用户招来广告也不奇怪。
脸书表示已听到外界意见，也会纳入产品考量。在被Techcrunch问及何以默认开放所有人搜
寻，脸书回复这可让其他人确认用户是否为其朋友。至于脸书未来是否会让用户或关闭这项
功能，脸书则表示不对未来计画做评论。
史丹佛大学兼任教授，也是脸书前安全长Alex Stamos对此透过推特指出，这也说明科技公
司需要有人针对产品提供安全优先的建议。他认为脸书若不切割搜寻和广告，不太可能要高
风险帐号实行2fA。
事实上，这已不是脸书第一次滥用2FA个资。去年年初许多脸书用户反映在输入2FA电话号码
后收到一堆广告及垃圾讯息，当时脸书还辩称是臭虫所致，结果去年9月被研究学者发现用
户的2FA电话号码，原来被脸书提供给外部广告主发送精准广告。
https://www.ithome.com.tw/news/129101
心得：
还好我填的手机都是备用的难怪没收到奇怪的讯息，话说回来FB怎么每次都有问题，他们应
该要开始注重资安问题吧，不然问题继续闹大，应该会更多人跳槽IG吧？