Facebook просит новых пользователей пароли от их электронной почты для использования сайта

Facebook поймали на просьбе некоторых новых пользователей о паролях к их учетным записям электронной почты

Некоторые новые пользователи Facebook были удивлены, когда им показали страницу с просьбой предоставить пароли к их личным учетным записям электронной почты в рамках процесса регистрации.

Проблему впервые заметил e-Sushi, известный анонимный исследователь безопасности, и сообщил об этом Daily Beast.

Привет @facebook, требовать секретный пароль личных учетных записей электронной почты ваших пользователей для проверки или любого другого использования — это УЖАСНАЯ идея с точки зрения #infosec. Идя по этому пути, вы фактически ловите пароли, которые вам не следует знать! pic.twitter.com/XL2JFk122l — e-sushi (@originalesushi) 31 марта 2019 г.

“Чтобы продолжить использовать Facebook, вам нужно подтвердить свою электронную почту. Поскольку вы зарегистрировались с [адрес электронной почты], вы можете сделать это автоматически через [веб-сайт хоста электронной почты],” — требует сообщение.

Форма под сообщением запрашивала «пароль от электронной почты» пользователей.

Очевидно, что новые пользователи Facebook, которых просили предоставить пароль от электронной почты, были теми, кто пытался зарегистрироваться с определенными провайдерами электронной почты, включая Яндекс и GMX. Однако Gmail от Google не видит этой опции, потому что Gmail использует инструмент авторизации OAuth, который не требует от пользователей ввода пароля.

Кроме того, если новый пользователь выбирает ввести пароль своей учетной записи электронной почты в Facebook, появляется всплывающее окно с сообщением, что Facebook «импортирует контакты» — даже не спрашивая разрешения пользователя на это.

Тем не менее, в заявлении Facebook сказали, что этот запрос видели только небольшое количество пользователей. Они утверждали, что это было сделано, чтобы сэкономить людям дополнительный шаг при регистрации учетной записи Facebook. Они также сказали, что компания не хранит пароли от электронной почты и больше не будет запрашивать пароли от учетных записей электронной почты пользователей.

“Эти пароли не хранятся Facebook. Очень небольшая группа людей имеет возможность ввести свой пароль электронной почты для подтверждения своей учетной записи, когда они впервые регистрируются в Facebook.

“Люди всегда могут выбрать подтверждение своей учетной записи с помощью кода, отправленного на их телефон, или ссылки, отправленной на их электронную почту.

“Тем не менее, мы понимаем, что опция проверки пароля не является лучшим способом решения этой проблемы, поэтому мы собираемся прекратить ее предложение,” — сказал представитель Facebook Daily Beast. Компания также добавила, что процесс не включает доступ Facebook к почтовым ящикам людей.

Это откровение происходит в то время, когда Facebook, который уже имеет запятнанную репутацию из-за ошибок, связанных с конфиденциальностью и безопасностью, признал в прошлом месяце, что хранил пароли примерно 200-600 миллионов пользовательских паролей в открытом виде на внутренних серверах компании, что делало их доступными для поиска до 20,000 сотрудников компании.