Facebookが新規ユーザーにサイト利用のためにメールパスワードを要求

Facebookが一部の新規ユーザーにメールアカウントのパスワードを要求していることが発覚

一部の新しいFacebookユーザーは、サインアッププロセスの一環として、個人のメールアカウントのパスワードを渡すよう求められるページに出くわし、驚きを隠せませんでした。

この問題は、著名な匿名セキュリティ研究者e-Sushiによって最初に発見され、Daily Beastによって報告されました。

こんにちは @facebook、ユーザーの個人メールアカウントの秘密のパスワードを検証やその他の目的で要求するのは、#infosecの観点から見て HORRIBLEなアイデアです。その道を進むことで、あなたは知らないはずのパスワードを実質的に釣り上げていることになります！ pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 2019年3月31日

「Facebookを引き続き利用するには、メールを確認する必要があります。あなたが[メールアドレス]でサインアップしたので、[メールホストウェブサイト]を通じて自動的にそれを行うことができます」とメッセージは要求しています。

メッセージの下には、ユーザーの「メールパスワード」を求めるフォームがありました。

どうやら、メールパスワードを提供するよう求められた新しいFacebookユーザーは、YandexやGMXなどの特定のメールプロバイダーで登録を試みた人々でした。しかし、GoogleのGmailは、ユーザーがパスワードを入力する必要がないOAuth認証ツールを使用しているため、このオプションは表示されません。

さらに、新しいユーザーがFacebookにメールアカウントのパスワードを入力することを選択すると、「Facebookが連絡先をインポートしています」というポップアップが表示され、ユーザーに許可を求めることもありません。

しかし、Facebookは声明の中で、このプロンプトはごく少数のユーザーにしか表示されなかったと述べました。彼らは、Facebookアカウントのサインアップ時に追加のステップを省くためのものであると主張しました。また、同社はメールパスワードを保存せず、今後ユーザーのメールパスワードを要求することはないと述べました。

「これらのパスワードはFacebookによって保存されていません。ごく少数の人々が、Facebookに初めてサインアップする際にアカウントを確認するためにメールパスワードを入力するオプションを持っています。

「人々は常に、電話に送信されたコードやメールに送信されたリンクでアカウントを確認することを選択できます。

「とはいえ、パスワード確認オプションが最良の方法ではないことを理解しているので、提供を停止するつもりです」とFacebookの広報担当者はDaily Beastに語りました。同社はまた、このプロセスがFacebookが人々のメールボックスにアクセスすることを含まないと付け加えました。

この暴露は、プライバシーとセキュリティに関するミスで既に傷ついたイメージを持つFacebookが、先月、約2億から6億のユーザーパスワードを社内サーバーに平文で保存し、最大20,000人の社員が検索可能であることを認めた時期に発表されました。