Facebook chiede ai nuovi utenti le password delle loro email per utilizzare il sito

Facebook sorpreso a chiedere ad alcuni nuovi utenti le password dei loro account email

Alcuni nuovi utenti di Facebook sono rimasti sorpresi quando si sono trovati di fronte a una pagina che chiedeva loro di fornire le password dei loro account email personali come parte del processo di registrazione.

Il problema è stato notato per la prima volta da e-Sushi, un noto ricercatore di sicurezza anonimo, e riportato dal Daily Beast.

Hey @facebook, richiedere la password segreta degli account email personali dei tuoi utenti per la verifica, o per qualsiasi altro tipo di utilizzo, è un’IDEA ORRIBILE dal punto di vista della #infosec. Andando in quella direzione, stai praticamente cercando di ottenere password che non dovresti conoscere! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 31 marzo 2019

“Per continuare a utilizzare Facebook, dovrai confermare la tua email. Poiché ti sei registrato con [email address], puoi farlo automaticamente tramite [email host website],” richiede il messaggio.

Un modulo sotto il messaggio chiedeva la “password email” degli utenti.

A quanto pare, i nuovi utenti di Facebook a cui è stata chiesta la password email erano quelli che hanno provato a registrarsi con determinati fornitori di email, tra cui Yandex e GMX. Tuttavia, Gmail di Google non vede questa opzione perché Gmail utilizza lo strumento di autorizzazione OAuth che non richiede agli utenti di inserire la propria password.

Inoltre, se un nuovo utente sceglie di inserire la propria password dell’account email su Facebook, appare un pop-up che dice che Facebook sta “importando contatti” – senza nemmeno chiedere il permesso all’utente di farlo.

Tuttavia, in una dichiarazione, Facebook ha affermato che il messaggio è stato visto solo da un piccolo numero di utenti. Hanno affermato che era destinato a risparmiare alle persone un passaggio aggiuntivo durante la registrazione per un account Facebook. Hanno anche detto che l’azienda non memorizza le password email e che non chiederà più le password email degli utenti.

“Queste password non sono memorizzate da Facebook. Un gruppo molto ristretto di persone ha l’opzione di inserire la propria password email per verificare il proprio account quando si registrano per la prima volta su Facebook.

“Le persone possono sempre scegliere invece di confermare il proprio account con un codice inviato al proprio telefono o un link inviato alla propria email.

“Detto ciò, comprendiamo che l’opzione di verifica della password non è il modo migliore per procedere, quindi smetteremo di offrirla,” ha dichiarato un portavoce di Facebook al Daily Beast. L’azienda ha anche aggiunto che il processo non comportava l’accesso da parte di Facebook alle caselle di posta email delle persone.

La rivelazione arriva in un momento in cui Facebook, che ha già un’immagine compromessa per errori legati alla privacy e alla sicurezza, ha riconosciuto il mese scorso di aver memorizzato le password di circa 200-600 milioni di utenti in testo semplice sui server interni dell’azienda, rendendole ricercabili da un massimo di 20.000 dipendenti dell’azienda.