페이스북, 신규 사용자에게 사이트 이용을 위한 이메일 비밀번호 요청

페이스북, 일부 신규 사용자에게 이메일 계정 비밀번호 요청

일부 신규 페이스북 사용자는 가입 과정의 일환으로 개인 이메일 계정의 비밀번호를 제출하라는 페이지를 보고 놀랐습니다.

이 문제는 잘 알려진 익명 보안 연구자인 e-Sushi에 의해 처음 발견되었고, Daily Beast에 의해 보도되었습니다.

Hey @facebook, 사용자들의 개인 이메일 계정 비밀번호를 확인이나 다른 용도로 요구하는 것은 #infosec 관점에서 끔찍한 아이디어입니다. 그런 길로 가면, 당신들은 알지 말아야 할 비밀번호를 낚고 있는 것입니다! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 2019년 3월 31일

“페이스북을 계속 사용하려면 이메일을 확인해야 합니다. [이메일 주소]로 가입했으므로 [이메일 호스트 웹사이트]를 통해 자동으로 확인할 수 있습니다.”라는 메시지가 요구합니다.

메시지 아래의 양식은 사용자에게 “이메일 비밀번호”를 요청했습니다.

비밀번호를 제공하라는 요청을 받은 신규 페이스북 사용자는 Yandex 및 GMX와 같은 특정 이메일 제공업체로 등록하려고 시도한 사용자들이었습니다. 그러나 구글의 Gmail은 사용자가 비밀번호를 입력할 필요가 없는 OAuth 인증 도구를 사용하기 때문에 이 옵션을 보지 않습니다.

또한, 신규 사용자가 페이스북에 이메일 계정 비밀번호를 입력하기로 선택하면, 사용자의 동의 없이 “연락처를 가져오는 중”이라는 팝업이 나타납니다.

그러나 페이스북은 이 메시지가 소수의 사용자에게만 표시되었다고 밝혔습니다. 그들은 이것이 페이스북 계정을 가입할 때 추가 단계를 줄이기 위한 것이라고 주장했습니다. 또한 회사는 이메일 비밀번호를 저장하지 않으며 더 이상 사용자에게 이메일 비밀번호를 요청하지 않을 것이라고 말했습니다.

“이 비밀번호는 페이스북에 저장되지 않습니다. 페이스북에 처음 가입할 때 계정을 확인하기 위해 이메일 비밀번호를 입력할 수 있는 옵션은 매우 소수의 사람들에게만 제공됩니다.

“사람들은 항상 전화로 전송된 코드나 이메일로 전송된 링크로 계정을 확인할 수 있는 선택을 할 수 있습니다.

“그렇긴 하지만, 비밀번호 확인 옵션이 최선의 방법이 아니라는 것을 이해하고 있으므로 이를 제공하는 것을 중단할 것입니다.”라고 페이스북 대변인이 Daily Beast에 말했습니다. 회사는 또한 이 과정이 페이스북이 사람들의 이메일 수신함에 접근하는 것과 관련이 없다고 덧붙였습니다.

이 폭로는 이미 프라이버시 및 보안과 관련된 실수로 손상된 이미지를 가진 페이스북이 지난달 약 2억에서 6억 개의 사용자 비밀번호를 내부 회사 서버에 일반 텍스트로 저장하고 이를 최대 20,000명의 회사 직원이 검색할 수 있도록 했다는 사실을 인정한 시점에 발생했습니다.