Niedawno pisaliśmy dla Was o tym, że Facebook dosyć brzydko bawił się w kontekście nowych użytkowników, którzy rejestrowali się w medium społecznościowym. Niektórzy użytkownicy otrzymywali komunikat o tym, że muszą uwierzytelnić się do maila wewnątrz infrastruktury Facebooka. Dotychczas uważano, że to jedynie "wątpliwej jakości" metoda odsiania botów. Wygląda na to, że chodziło o coś nieco innego.
W skrócie: Facebook prosił użytkowników o hasła do kont e-mail w trakcie rejestracji. Jak utrzymuje sam gigant, ten mechanizm miał zastosowanie tylko w przypadku, gdy próba zarejestrowania się pochodziła z podejrzanego adresu i istniało ryzyko, że jest ona związana z działalnością szkodliwych botów. Warto przy tej okazji wspomnieć, że dostępne były również inne metody dodatkowego potwierdzenia własnej tożsamości, ale były one dosyć sprytnie ukryte - użytkownicy mogli odnieść wrażenie, że podanie hasła do konta e-mail jest jedyną metodą zakończenia rejestracji.
Wtedy również uznałem, że Facebook zwyczajnie popełnił paskudny błąd. Tyle mówi się o tym, że nie warto podawać danych do usług, w których jesteśmy zarejestrowani gdziekolwiek poza nimi. A zatem - Facebook nie powinien nas prosić o to, by podać hasło do skrzynki mailowej. Nawet, jeżeli nie ma w tym złych zamiarów; powinien pamiętać o "higienie" korzystania z usług w internecie. Pokazanie użytkownikowi, że taki gigant jak Facebook prosi go o podanie hasła do skrzynki e-mail może znieczulić go w przyszłości np. na próby wyłudzenia danych związanych z phishingiem.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31 marca 2019
Czytaj dalej poniżej
Facebook jednak brzydko zabawił się z danymi w skrzynkach mailowych
I co istotne, nie wspominał o tym w komunikatach, które jednoznacznie wskazywały użytkownikom na konieczność uwierzytelnienia się do skrzynki mailowej. Chodzi tutaj o zgodę na przetwarzanie... list kontaktów. Wygląda na to, że po wpisaniu adresu e-mail oraz hasła do tejże usługi, Facebook automatycznie pobierał listę wszystkich osób, z którymi się kontaktowaliśmy. Gigant już odniósł się do tej sprawy i twierdzi, że doszło do tego w sposób omyłkowy i w tym momencie mechanizm weryfikacyjny nie prowadzi już takich praktyk (zasadniczo jest on całkowicie wyłączony z uwagi na kontrowersje).
Problem pobranych list kontaktów z adresów e-mail dotyczy 1,5 mln kont. Facebook twierdzi w tym momencie, że do ich zebrania doszło absolutnie przypadkowo i nie było to działanie intencjonalne. Dodatkowo, w najbliższych dniach gigant ma usunąć te dane ze swoich serwerów. Przyznam szczerze, że jestem niesamowicie zaskoczony zarówno tym, że Facebook dopuścił się takiego procederu, a także reakcją na jego odkrycie.
Trudno mi wyobrazić sobie, że taki gigant jak Facebook w takim przypadku mówi o "błędzie" - osobiście uważam, że był absolutnie świadom tego co robi, jednak w momencie, gdy mleko się rozlało postanowił zrobić krok w tył i przykryć sprawę kołderką "błędu". Pytanie co jeszcze serwis Zuckerberga robi bez naszej wiedzy i w momencie krytycznym nazwie to "pomyłką"...
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu