Senatsförhör, Cambridge analytica, GDPR och protester från användare – Facebook har sett bättre dagar. Pressat av omständigheterna har Facebook rensat i djungeln av profilinställningar och gjort det enklare för användare att ta kontroll över hur deras data och personuppgifter hanteras och hur annonseringen riktas mot användarna.

Men det gäller bara den användarprofil du kan se, skriver Gizmodo. Nu visar det sig, enligt ett forskarlag med forskare från universiteten Northeastern och Princeton i USA, att Facebook håller sig med “skuggprofiler” av användarna. I forskarnas rapport redogörs hur de lyckats ”lura” Facebooks system och algoritmer att fånga upp personuppgifter om användare, som dessa användare inte har en aning om att Facebook kan ta del av. Dessa data finns inte i användarnas profiler.

Läs också: Instagrams grundare slutar – ”redo för nytt kapitel”

Det mest graverande är att Facebook använder mobilnummer som angetts i syfte att öka säkerheten genom tvåfaktorsautentisering, genom att matcha det numret mot listor på telefonnummer som annonsörerna kan ladda upp i funktionen Custom Audience, en funktion annonsörer kan använda för att rikta annonser till specifika personer de har kontaktuppgifter till sen tidigare kundrelationer. Facebook erbjuder sedan fyra månader alternativa sätt att använda 2-faktor-autentisering, men mobilen är det normala.

Att Facebook använder personuppgifter från tvåfaktorsautentiseringen upprör många eftersom det underminerar användarnas vilja att använda ett säkrare sätt att logga in, det säger en del om hur Facebook ser på användarnas integritet. J M Porup på CSO, skriver i en skarpt kritisk krönika att "det största säkerhetshotet mot Facebookanvändare kan vara Facebook självt.”

Andra personuppgifter i skuggprofilen kommer från användarnas vänner. Facebook tillhandahåller en särskild funktion där användare kan ladda upp sina kontakter för att på så sätt hitta nya vänner. Om en vän har angett en personuppgift om dig, till exempel en e-postadress, kan Facebook matcha även de uppgifterna i Custom Audience. Dessa personuppgifter, som dina vänner har om dig, syns inte i din profil och du kan inte ange i inställningarna att de inte ska användas av Facebook och deras annonsörer.

Misstankar om skuggprofilen har cirkulerat en längre tid. Användare har reagerat på att det fortsätter dyka upp kusligt välriktade annonser, trots att de dragit ned alla inställningar kring personuppgifter och annonsering i botten. Även de amerikanska forskarna har reagerat på detta och bestämde sig för att gillra en fälla. De laddade upp personuppgifter i Custom Audience-funktionen som de helt säkert visste att de inte gett ut till Facebook, och baserat på dessa data dök annonserna upp med hög träffsäkerhet.

Läs också: Hot om stora böter för att få bort extremistiskt innehåll på nätet

På forskarnas, och andras, frågor har Facebook svarat undanglidande och konsekvent vägrat att erkänna att det finns skuggprofiler överhuvudtaget, men de ifrågasätter heller inte forskarnas resultat. I Europa, där GDPR gäller, har Facebookanvändare försökt att få ut dessa personuppgifter, men gått bet, trots att artikel 15 i GDPR tydligt säger att användare ska kunna få ut alla sina personuppgifter som ett företag lånar.

Den brittiske medborgaren Rob Blackie har under flera månader försökt få Facebook att lämna ut personuppgifterna i skuggprofilen, men Facebook vägrar och anger som skäl att uppgifterna är en del av deras hemliga algoritmer.