Facebook pide a nuevos usuarios sus contraseñas de correo electrónico para usar el sitio

Facebook sorprende al pedir a algunos nuevos usuarios las contraseñas de sus cuentas de correo electrónico

Algunos nuevos usuarios de Facebook se sorprendieron al ser recibidos con una página que les pedía entregar las contraseñas de sus cuentas de correo electrónico personales como parte del proceso de registro.

El problema fue notado por primera vez por e-Sushi, un conocido investigador de seguridad anónimo, y reportado por el Daily Beast.

Hey @facebook, exigir la contraseña secreta de las cuentas de correo electrónico personales de tus usuarios para verificación, o cualquier otro tipo de uso, es una idea HORRIBLE desde el punto de vista de #infosec. ¡Al seguir ese camino, prácticamente estás pescando contraseñas que no deberías conocer! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 31 de marzo de 2019

“Para continuar usando Facebook, necesitarás confirmar tu correo electrónico. Dado que te registraste con [dirección de correo electrónico], puedes hacerlo automáticamente a través de [sitio web del proveedor de correo],” exige el mensaje.

Un formulario debajo del mensaje pedía la “contraseña de correo electrónico” de los usuarios.

Aparentemente, los nuevos usuarios de Facebook a quienes se les pidió que dieran su contraseña de correo electrónico fueron aquellos que intentaron registrarse con ciertos proveedores de correo electrónico, incluyendo Yandex y GMX. Sin embargo, Gmail de Google no ve esta opción porque Gmail utiliza la herramienta de autorización OAuth que no requiere que los usuarios ingresen su contraseña.

Además, si un nuevo usuario elige ingresar su contraseña de cuenta de correo electrónico en Facebook, aparece un mensaje emergente que dice que Facebook está “importando contactos” – sin siquiera pedir permiso al usuario para hacerlo.

Sin embargo, en una declaración, Facebook dijo que el aviso solo fue visto por un pequeño número de usuarios. Afirmaron que estaba destinado a ahorrar a las personas un paso adicional al registrarse para una cuenta de Facebook. También dijeron que la compañía no almacena contraseñas de correo electrónico y que ya no pediría las contraseñas de correo electrónico de los usuarios.

“Estas contraseñas no son almacenadas por Facebook. Un grupo muy pequeño de personas tiene la opción de ingresar su contraseña de correo electrónico para verificar su cuenta cuando se registran en Facebook por primera vez.

“Las personas siempre pueden elegir en su lugar confirmar su cuenta con un código enviado a su teléfono o un enlace enviado a su correo electrónico.

“Dicho esto, entendemos que la opción de verificación de contraseña no es la mejor manera de proceder, por lo que vamos a dejar de ofrecerla,” dijo un portavoz de Facebook al Daily Beast. La compañía también agregó que el proceso no involucraba a Facebook accediendo a las bandejas de entrada de correo electrónico de las personas.

La revelación llega en un momento en que Facebook, que ya tiene una imagen empañada por errores relacionados con la privacidad y la seguridad, reconoció el mes pasado haber almacenado contraseñas de aproximadamente 200-600 millones de usuarios en texto plano en servidores internos de la compañía, lo que las hacía buscables para hasta 20,000 empleados de la empresa.