Facebook pedindo senhas de email de novos usuários para usar o site

Facebook flagrado pedindo senhas de contas de email a alguns novos usuários

Alguns novos usuários do Facebook ficaram surpresos ao serem recebidos com uma página pedindo que entregassem as senhas de suas contas de email pessoais como parte do processo de inscrição.

O problema foi notado pela primeira vez por e-Sushi, um conhecido pesquisador de segurança anônimo, e relatado pelo Daily Beast.

Hey @facebook, exigir a senha secreta das contas de email pessoais de seus usuários para verificação, ou qualquer outro tipo de uso, é uma ideia HORRÍVEL do ponto de vista da #infosec. Ao seguir por esse caminho, você está praticamente pescando senhas que não deveria saber! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 31 de março de 2019

“Para continuar usando o Facebook, você precisará confirmar seu email. Como você se inscreveu com [endereço de email], você pode fazer isso automaticamente através de [site do provedor de email],” exige a mensagem.

Um formulário abaixo da mensagem pedia a “senha do email” dos usuários.

Aparentemente, os novos usuários do Facebook que foram solicitados a fornecer sua senha de email foram aqueles que tentaram se registrar com certos provedores de email, incluindo Yandex e GMX. No entanto, o Gmail do Google não vê essa opção porque o Gmail usa a ferramenta de autorização OAuth que não requer que os usuários insiram sua senha.

Além disso, se um novo usuário optar por inserir a senha de sua conta de email no Facebook, uma janela pop-up aparece dizendo que o Facebook está “importando contatos” – sem sequer pedir permissão ao usuário para fazê-lo.

No entanto, em uma declaração, o Facebook disse que o aviso foi visto apenas por um pequeno número de usuários. Eles afirmaram que era para economizar as pessoas de um passo adicional durante a inscrição para uma conta do Facebook. Eles também disseram que a empresa não armazena senhas de email e que não pediria mais as senhas de email dos usuários.

“Essas senhas não são armazenadas pelo Facebook. Um grupo muito pequeno de pessoas tem a opção de inserir sua senha de email para verificar sua conta quando se inscrevem no Facebook pela primeira vez.

“As pessoas sempre podem optar por confirmar sua conta com um código enviado para seu telefone ou um link enviado para seu email.

“Dito isso, entendemos que a opção de verificação de senha não é a melhor maneira de lidar com isso, então vamos parar de oferecê-la,” disse um porta-voz do Facebook ao Daily Beast. A empresa também acrescentou que o processo não envolvia o Facebook acessando as caixas de entrada de email das pessoas.

A revelação ocorre em um momento em que o Facebook, que já tem uma imagem manchada por erros relacionados à privacidade e segurança, reconheceu no mês passado que armazenava senhas de aproximadamente 200-600 milhões de senhas de usuários em texto simples em servidores internos da empresa, tornando-as pesquisáveis para até 20.000 funcionários da empresa.