Facebook demande aux nouveaux utilisateurs leurs mots de passe d'email pour utiliser le site

Facebook surpris en train de demander à certains nouveaux utilisateurs les mots de passe de leurs comptes email

Certains nouveaux utilisateurs de Facebook ont été surpris lorsqu’ils ont été accueillis par une page leur demandant de remettre les mots de passe de leurs comptes email personnels dans le cadre du processus d’inscription.

Le problème a d’abord été remarqué par e-Sushi, un chercheur en sécurité anonyme bien connu, et rapporté par le Daily Beast.

Hey @facebook, exiger le mot de passe secret des comptes email personnels de vos utilisateurs pour vérification, ou tout autre type d’utilisation, est une HORRIBLE idée d’un point de vue #infosec. En empruntant cette voie, vous êtes pratiquement en train de pêcher des mots de passe que vous ne devriez pas connaître ! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 31 mars 2019

“Pour continuer à utiliser Facebook, vous devrez confirmer votre email. Puisque vous vous êtes inscrit avec [adresse email], vous pouvez le faire automatiquement via [site de l’hôte email],” exige le message.

Un formulaire en dessous du message demandait le “mot de passe email” des utilisateurs.

Apparemment, les nouveaux utilisateurs de Facebook à qui l’on a demandé de donner leur mot de passe email étaient ceux qui avaient essayé de s’inscrire avec certains fournisseurs d’email, y compris Yandex et GMX. Cependant, le Gmail de Google ne voit pas cette option car Gmail utilise l’outil d’autorisation OAuth qui ne nécessite pas que les utilisateurs saisissent leur mot de passe.

De plus, si un nouvel utilisateur choisit de saisir son mot de passe de compte email dans Facebook, un pop-up apparaît disant que Facebook est “en train d’importer des contacts” – sans même demander la permission à l’utilisateur de le faire.

Cependant, dans une déclaration, Facebook a déclaré que l’invite n’était vue que par un petit nombre d’utilisateurs. Ils ont affirmé que cela visait à éviter aux gens une étape supplémentaire lors de l’inscription à un compte Facebook. Ils ont également déclaré que la société ne stocke pas les mots de passe email et qu’elle ne demanderait plus les mots de passe email des utilisateurs.

“Ces mots de passe ne sont pas stockés par Facebook. Un très petit groupe de personnes a la possibilité de saisir leur mot de passe email pour vérifier leur compte lorsqu’elles s’inscrivent pour la première fois sur Facebook.

“Les gens peuvent toujours choisir de confirmer leur compte avec un code envoyé sur leur téléphone ou un lien envoyé à leur email.

“Cela dit, nous comprenons que l’option de vérification par mot de passe n’est pas la meilleure façon de procéder, donc nous allons cesser de l’offrir,” a déclaré un porte-parole de Facebook au Daily Beast. La société a également ajouté que le processus n’impliquait pas Facebook accédant aux boîtes de réception email des gens.

Cette révélation survient à un moment où Facebook, qui a déjà une image ternie par des erreurs liées à la vie privée et à la sécurité, a reconnu le mois dernier avoir stocké les mots de passe d’environ 200 à 600 millions d’utilisateurs en texte clair sur des serveurs internes de l’entreprise, les rendant consultables par jusqu’à 20 000 employés de l’entreprise.