Facebook で先週明らかになった問題の詳細が、その後も次々と明らかになっています。Facebook ユーザが先週初めに、Facebook が二要素認証の「影の連絡先情報」や友人の電話帳をユーザへのターゲット広告に使っていることを発見しました。Facebook は先週後半に、少なくとも 5,000 万件のユーザアカウントが一連の脆弱性によって不正利用されたと発表しました。さらに悪いことに、あるユーザが Mark Zuckerberg の Facebook アカウントなどのユーザのアカウントを削除することもできるバグを発見し、それを悪用することもできると発言しました。ただし、彼はその後、実行に移すのを止めたようです。

Facebook について大きく報道した多くの記事では、いくつかの事実が明らかにされていませんでした。ノースウェスタン大学の研究論文が、Facebook のデータ流出では二要素認証の電話番号や友人の電話帳アドレスが広告に利用されたことを明らかにし、Facebook が利用しているデータに関するさらに詳しい情報にも言及しています。同論文の研究者は、Facebook がユーザの PPI（個人識別情報）の取得に利用していると可能性がある、7 つの異なる方法をテストしました。

• ユーザの Facebook プロフィールに直接追加された PII
• Facebook Messenger アプリに提供された PII
• WhatsApp に提供された PII
• 電話の連絡先を共有した場合に Facebook が共有する PII
• カスタムオーディエンス経由で顧客をターゲットにする目的で広告主がアップロードした PII
• 二要素認証の目的でユーザアカウントに追加された PII
• ログインアラートに追加された PII

一部については、明らかにユーザが Facebook の自分のプロフィールに直接追加した情報ですが、ほとんどの記事で報道されなかった事実の 1 つに、ログインアラート情報があります。ログインアラート情報は、新しいデバイスで自分の Facebook アカウントにログインしたときに通知されるものです。二要素認証と同様、この情報は安全であり、広告主に渡されることはないだろうと思うかもしれません。ところが、研究者たちが、ログインアラート情報として指定されたメールアドレスや電話番号などがターゲット広告のために使用されていたことを発見しました。こういった情報がなくなることはおそらくほとんどありません。Facebook は、一旦手に入れた情報については、たとえユーザからの依頼があったとしても削除しません。Facebook のプライバシーポリシーには、ユーザの情報を削除すると記載されていますが、ユーザの情報とユーザが持っているその他の情報を Facebook がどのように区別しているのかが明確ではありません。研究者によれば、Facebook が自らの持つユーザに関する情報を公開することはおそらくないということです。

研究者たちは、希望の光とでも言うべき事実を発見しました。WhatsApp のデータと広告主がアップロードしたデータについてはタグ付けされた広告に使われていなかったため、Facebook がこの情報を少なくともここには残していないものと推測されます。