Ik gebruik Facebook niet, maar onlangs heb ik een account aangemaakt om het te verbinden met een app. Ik heb verschillende fotos van mezelf geüpload naar Facebook, deed wat ik nodig had met de app en verwijderde de fotos.
De volgende dag probeerde ik in te loggen op mijn Facebook-account en zag dit:
Hoe kan Facebook mijn foto gebruiken om te controleren of het account is van mij? Ze zouden nu geen van mijn fotos moeten hebben, toch? Betekent dit dat ze daadwerkelijk verwijderde inhoud behouden?
Reacties
- Heb je vrienden toegevoegd aan het Facebook-account? Misschien hebben ze je getagd in een van hun fotos.
- Ze hadden informatie over je fotos kunnen halen (ras, haarkleur, bril, leeftijd, geslacht, enz.). Misschien is dat ‘ wat ze controleren. Je zou kunnen proberen om een foto van iemand die totaal anders is te uploaden en te kijken of deze de foto neemt.
- Facebook doet gezichtsherkenning en veel door kunstmatige intelligentie aangedreven analyses van gebruikersinhoud. Ik denk (veronderstel) dat Facebook-algoritmen hebben afgeleid dat de persoon op de vele geüploade fotos de eigenaar van het account moet zijn. Als een manier om te voorkomen dat mensen zich voordoen als andere mensen op Facebook (dit is een normaal probleem voor hen), hebben ze deze verificatie ingevoerd: als jij de persoon op de fotos bent, zou je een nieuwe van jezelf moeten kunnen maken . Ze passen gemakkelijk bij het gezicht. Nogmaals, dit is gewoon een volledige veronderstelling van mijzelf, geen antwoord ondersteund door de bron.
- Het zou heel goed kunnen dat je ze een foto wilt geven, specifiek omdat er geen is.
- @Greendrake Nou het ‘ is niet alsof Facebook niet ‘ al bekend staat om te liegen …
Antwoord
2e Kerckhoff-principe
Dit principe is bedacht door een cryptograaf voor de cryptografisch veld, maar is van toepassing op elk beveiligingsproces:
"It should not require secrecy, and it should not be a problem if it falls into enemy hands"
Ik ben niet in staat een proces te controleren of te bewijzen dat geheim wordt gehouden. Daarom is er geen goede reden om een beveiligingsproces geheim te houden. De enige 2 redenen die ik me voorstel om een beveiligingsproces geheim te houden dat ik zou hebben bedacht, zijn:
- mijn proces is zwak en als mijn vijand het leest, kan hij het breken,
- Ik vertrouw mijn proceskracht niet en ik geef er de voorkeur aan het risico van het eerste geval te vermijden.
In beide gevallen moet ik erkennen dat mijn proces riskant is, niet gecontroleerd, niet bewezen. Mijn geheim is gewoon een leugen, een leugen tegen mij en een leugen tegen mijn gebruikers.
Persoonlijke analyse
Facebook schrijft:
"We use this photo to help us to check that this account belongs to you"
De waarheid is dat als ze geen bewijs hebben dat deze foto van jou als fysiek persoon is gemaakt, ze niet kunnen bewijzen dat deze foto authentiek is. Ze hebben een relatie ingesteld tussen:
- een foto: P ,
- een verzendend telefoonnummer of een IP-adres van een verzendende computer: N ,
- een accountnaam: A .
Geen enkele relatie met de fysieke persoon (de fysieke persoon kan bijvoorbeeld een mooie foto maken van zijn buurman of zijn dochter).
R1 : Facebook kan” niet bewijzen dat een foto authentiek is van een fysiek persoon.
Wat konden ze controleren? Ze konden controleren of foto P in geen enkele staat:
- database met fotos die zijn aangegeven als gebruikt bij identiteitsdiefstal en gerapporteerd aan Facebook, zou deze zoekopdracht minuten duren,
- database met fotos die worden gebruikt om andere Facebook-accounts te “identificeren”, deze zoekopdracht zou uren duren.
Al met al konden ze elke poging tot identiteitsdiefstal van jou snel detecteren, als en alleen als de eerder geregistreerde fotos authentiek waren, wat ze helaas niet kunnen bewijzen (niemand kan aantonen dat ze een robuust proces hebben om te bewijzen authenticiteit van foto zie R1 ).
Persoonlijke conclusie
Ik kan ” Ik vertrouw dit proces niet vanwege de bovenstaande argumenten en het gebrek aan duidelijke communicatie van Facebook. Als er een fout in mijn argumenten zit, kan iemand het zien en het publiekelijk aangeven. Deze conclusie is niet gebaseerd op enige goede of slechte reputatie die Facebook heeft op het gebied van beveiliging.
Opmerkingen
- Ik don ‘ zie niet hoe dit de vraag op enigerlei wijze beantwoordt. Het lijkt meer een persoonlijke tirade over het fotoverificatieproces van Facebook ‘.
- @TomK. de oorspronkelijke vraag: ” Hoe kan …”, en ik heb aangetoond ” Dat kunnen ze niet. “. Als je een fout in mijn antwoord ziet, schrijf het dan op, ik ‘ zal proberen het te verbeteren of te onderdrukken.
- Misschien moet je de vraag nog eens lezen .
Antwoord
Facebook hoeft de verwijderde fotos niet op te slaan. Het enige dat ze hoeven te doen, is de fotos die u hebt geüpload, gebruiken om de biometrische details te extraheren om uw gezicht te kunnen herkennen. Die gegevens gebruiken ze om nieuwe fotos te verifiëren.
Dit wordt allemaal beschreven in hun privacy- en beveiligingsinstellingen. U kunt de functie voor het verzamelen van biometrische gezichtsgegevens uitschakelen.
Opmerkingen
- Nou, het proces lijkt handmatig te zijn: ik heb daar een foto voor ingediend formulier en er staat dat ze contact met me opnemen zodra het is beoordeeld. Nu meer dan 1 uur, nog steeds geen antwoord. Als wat je zegt waar is, waarom zouden ze dan handmatig verifiëren als biogegevens opnieuw kunnen worden geëxtraheerd en automatisch kunnen worden vergeleken?
- Ik heb dan ook geen idee waarmee ze het zouden vergelijken. Maar om de door u gestelde vragen te beantwoorden: 1) ze kunnen de nieuwe fotos gebruiken om te vergelijken met opgeslagen biometrische gegevens, 2) ze hoeven uw fotos niet vast te houden om deze vergelijking te maken, 3) ze hoeven zich niet vast te houden aan verwijderde inhoud als ze de biometrische gegevens opslaan. Als uw vraag echt was, waarmee gaan ze de CAPTCHA-inlogfoto vergelijken, dan moet u uw vraag wijzigen.
Antwoord
Om te bepalen of het account authentiek is, kijkt Facebook naar of de foto uniek is. -Wired
Ze u hoeft alleen maar te kijken of de foto in het systeem staat om te beslissen of u verder onderzoek wilt doen. Als u een foto uploadt die door een andere gebruiker is gebruikt, probeert u mogelijk een nepaccount aan te maken. Facebook probeert ook de locatie te bepalen waar de foto is gemaakt en welke andere informatie de AI zou kunnen verzamelen. Dat alles kan worden gedaan zonder eerdere fotos of andere gegevens van jou.
Wat betreft de vraag of ze je fotos hebben, Facebook zegt dat ze ze binnen 90 dagen zullen verwijderen als je ze verwijdert.
Facebook zei dat de fotos zijn gehasht en vervolgens van de servers zijn verwijderd.
Als u besluit uw foto voor de test te uploaden, wordt deze gehasht, maar wordt de daadwerkelijke foto verwijderd.
Het proces is geautomatiseerd, inclusief het identificeren van verdachte activiteiten en het controleren van de foto.
Je leek te denken dat het proces niet geautomatiseerd was in een opmerking, maar Facebook zegt van wel.
Reacties
- Hoe geloofwaardig lijkt de bewering dat het proces geautomatiseerd is als het nog uren na het starten doorgaat? De vraag is niet wat Facebook zegt. De vraag is wat het doet .
- @Greendrake Hanlon ‘ s scheermes : hun systeem is gecrasht of is overbelast. Als ik een dergelijk systeem zou ontwerpen, zou ik ‘ een fuzzy hash gebruiken die mogelijk valse positieven kan hebben. Als het overeenkomt, zou het door mensen moeten worden beoordeeld.
- @Greendrake Niemand van ons is aanwezig op het moment dat het gebeurt, maar ik betwijfel of ze iedereen op Facebook zouden overtuigen om erover te liegen. Het is moeilijk om tienduizenden mensen op dezelfde manier te laten liegen.
- @Greendrake Ik ‘ weet zeker dat een groot deel van de tijd die nodig is, gebaseerd is op op het aantal verzoeken dat ze verwerken. Er zijn meer dan een miljard mensen op Facebook.
- Tienduizenden opnieuw overtuigen om te liegen: 1) slechts een klein percentage van hen zou de waarheid weten over hoe het proces werkt (de rest zou niet ‘ ik hoef het niet te weten); 2) een NDA zou behoorlijk overtuigend zijn voor degenen die het weten.
Antwoord
Sorry, ik heb geen aluminiumfolie hoed voor je vandaag.
Systeem 1 slaat je fotos op en laat een vinkje achter “Account is klaar voor gezichtsverificatie”.
Systeem 2 vinkt dit vakje aan en zet je account op een interne lijst met accounts die moeten worden geverifieerd.
U verwijdert uw fotos en systeem 1 schakelt het selectievakje “Account is klaar voor gezichtsverificatie” uit.
Systeem 2 schakelt het selectievakje “Account niet in”. is klaar voor gezichtsverificatie “opnieuw voor uw volgende login, omdat het geval dat een account slechts enkele fotos heeft die verifieerbaar zijn en ze kort daarna verwijdert, een zeldzaam geval is en nu loopt het proces vast.
Met andere woorden :
De berekening voor biometrische kenmerken wordt alleen gedaan wanneer dat nodig is – lees: alleen dan wanneer het verificatieproces wordt geactiveerd.Er zijn geen fotos meer om de gegevens uit te halen, en nu kan het verificatieproces “niet doorgaan.
Opmerkingen
- Zeg je dat het zou hebben gevraagd om een gezichtsfoto te uploaden, zelfs als ik de fotos die ik in eerste instantie heb geüpload niet heb verwijderd?
- Ja, omdat je accountaanmaakgedrag behoorlijk botachtig is
- Oké, dit klinkt als een mooie theorie. Iets dat overtuigt dat het zo is hoe de dingen werkelijk zijn?
- Helaas niet, jij ‘ d moet waarschijnlijk een bugrapport indienen / dit tweeten naar @Facebook en een bevestiging krijgen.;) Ik weet niet ‘ hoe de infrastructuur of de verificatiestroom op Facebook eruitziet zoals. En de crux is dat niemand hier dat doet, tenzij iemand hier een ontwikkelaar is op Facebook. Uiteindelijk kunnen we alleen onze beste theorie nemen, en mijn theorie gaat uit van een defecte code / flow als basis, en dat is waarschijnlijk de meest voorkomende reden voor vreemd gedrag in systemen.
- Het verif Het proces is nu voltooid en heeft ertoe geleid dat mijn account is uitgeschakeld. Toch kan ik al mijn gegevens downloaden (don ‘ t maar weet wat ‘ s daarin – zou niets moeten zijn). Maar wat dit betekent is dat de theorie niet klopt: het proces ging verder, en blijkbaar handmatig omdat het resulteerde in het uitschakelen van het account.
Antwoord
Ik denk niet dat het bovenstaande antwoord nuttig is, omdat ze niet over de gegevens zouden beschikken als hij de fotos in alle gevallen zou verwijderen, zelfs als ze dat in sommige gevallen wel doen.
De juiste manier om te zien welke gegevens ze hebben afkomstig van uw account, is door naar Setttings> Uw Facebook-informatie te gaan. Van daaruit kunt u zien welke fotos u hebt gepost en op welke fotos u bent getagd. je downloadt je informatie zodat je precies kunt zien wat er is.
Dat vertelt je wat ze hebben. Wat betreft het bewaren van oude informatie, heeft Facebook gezegd dat het tot 90 dagen kan duren om de gegevens permanent te verwijderen. Dat betekent dat ze ook de statistieken zouden verwijderen die zijn opgedaan met een AI-fotoscan. https://www.nbcnews.com/card/facebook-does-delete-your-data-n864816
Facebook kan mogelijk nog 90 dagen lang een foto van je hebben, maar dat bericht is geautomatiseerd en zou nog steeds verschijnen, zelfs als ze geen fotos van je meer hebben. Het wordt beschouwd als een vorm van CAPTCHA, omdat het voor een bot moeilijk zou zijn om fotos te repliceren die niet openbaar beschikbaar zijn, dus zelfs als Facebook je fotos niet heeft opgeslagen, kan de site de fotos die ze wel hebben doorzoeken om te zien of je dat wel bent. het indienen van een foto die al op de site staat en daarom een bot kan zijn die fotos van andere mensen gebruikt. Het kan je waarschijnlijk laten zien dat het geen bot is, zelfs als het je niet kan herkennen als jij. https://www.telegraph.co.uk/technology/2017/11/29/facebook-asking-users-upload-selfie-prove/
Reacties
- … en als de biometrische gegevens zijn geëxtraheerd toen de fotos werden geüpload? Dan hebben ze de opgeslagen fotos niet nodig.
- Dat is waar tot 90 dagen, zoals het artikel zei, maar Facebook gebruikt de fotos als een CAPTCHA, zelfs als dat niet het geval is. ‘ hebben de boimetrische gegevens, zodat die uitleg niet elke mogelijkheid dekt.
- Dus de eerste regel in je antwoord is nu onjuist? Omdat ze nog steeds de fotos hebben gedurende 90 dagen, zelfs als hij ze heeft verwijderd? ‘ Ik heb echt moeite om je logica te volgen.
- Ik zei dat ze de gegevens niet in ALLE gevallen zouden hebben. Soms bleef het een tijdje op de server staan, maar niet altijd. Dat betekent dat de suggestie daarvan in uw antwoord niet altijd waar kan zijn.
- Suggestie van wat? Wat denk je dat ik zei?