Facebook fordert neue Nutzer auf, ihre E-Mail-Passwörter zur Nutzung der Seite anzugeben

Facebook wurde dabei erwischt, einigen neuen Nutzern Passwörter für ihre E-Mail-Konten zu verlangen

Einige neue Facebook-Nutzer waren überrascht, als sie mit einer Seite konfrontiert wurden, die sie aufforderte, die Passwörter zu ihren persönlichen E-Mail-Konten im Rahmen des Anmeldeprozesses preiszugeben.

Das Problem wurde zuerst von e-Sushi, einem bekannten anonymen Sicherheitsforscher, bemerkt und vom Daily Beast berichtet.

Hey @facebook, das geheime Passwort der persönlichen E-Mail-Konten deiner Nutzer zur Verifizierung oder für irgendeine andere Art von Nutzung zu verlangen, ist aus Sicht der #infosec eine SCHRECKLICHE Idee. Wenn ihr diesen Weg geht, fischt ihr praktisch nach Passwörtern, die ihr nicht wissen solltet! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 31. März 2019

„Um Facebook weiterhin nutzen zu können, musst du deine E-Mail bestätigen. Da du dich mit [E-Mail-Adresse] angemeldet hast, kannst du das automatisch über [E-Mail-Host-Website] tun“, verlangt die Nachricht.

Ein Formular unter der Nachricht fragte nach dem „E-Mail-Passwort“ der Nutzer.

Offenbar waren die neuen Facebook-Nutzer, die aufgefordert wurden, ihr E-Mail-Passwort anzugeben, diejenigen, die versucht hatten, sich mit bestimmten E-Mail-Anbietern, einschließlich Yandex und GMX, zu registrieren. Google’s Gmail sieht diese Option jedoch nicht, da Gmail das Autorisierungstool OAuth verwendet, das nicht erfordert, dass Nutzer ihr Passwort eingeben.

Zusätzlich erscheint, wenn ein neuer Nutzer auswählt, sein E-Mail-Konto-Passwort in Facebook einzugeben, ein Pop-up, das besagt, dass Facebook „Kontakte importiert“ – ohne den Nutzer überhaupt um Erlaubnis zu fragen.

In einer Erklärung sagte Facebook jedoch, dass die Aufforderung nur von einer kleinen Anzahl von Nutzern gesehen wurde. Sie behaupteten, sie sei dazu gedacht, den Menschen einen zusätzlichen Schritt bei der Anmeldung für ein Facebook-Konto zu ersparen. Sie sagten auch, dass das Unternehmen keine E-Mail-Passwörter speichert und dass es nicht mehr nach den E-Mail-Passwörtern der Nutzer fragen würde.

„Diese Passwörter werden nicht von Facebook gespeichert. Eine sehr kleine Gruppe von Personen hat die Möglichkeit, ihr E-Mail-Passwort zur Verifizierung ihres Kontos einzugeben, wenn sie sich zum ersten Mal bei Facebook anmelden.

„Die Leute können sich immer stattdessen entscheiden, ihr Konto mit einem Code zu bestätigen, der an ihr Telefon gesendet wird, oder mit einem Link, der an ihre E-Mail gesendet wird.

„Das gesagt, verstehen wir, dass die Passwortverifizierungsoption nicht der beste Weg ist, dies zu handhaben, also werden wir aufhören, sie anzubieten“, sagte ein Facebook-Sprecher gegenüber dem Daily Beast. Das Unternehmen fügte auch hinzu, dass der Prozess nicht beinhaltete, dass Facebook auf die E-Mail-Postfächer der Menschen zugreift.

Die Offenbarung kommt zu einem Zeitpunkt, an dem Facebook, das bereits ein angeschlagenes Image aufgrund von Fehlern im Zusammenhang mit Datenschutz und Sicherheit hat, letzten Monat zugab, Passwörter von etwa 200-600 Millionen Nutzer-Passwörtern im Klartext auf internen Unternehmensservern gespeichert zu haben, wodurch sie für bis zu 20.000 Unternehmensmitarbeiter durchsuchbar wurden.