facebook
10

Facebook zaliczył wtopę. Prosił o hasła do maili i… wyciągał z nich dane

Niedawno pisaliśmy dla Was o tym, że Facebook dosyć brzydko bawił się w kontekście nowych użytkowników, którzy rejestrowali się w medium społecznościowym. Niektórzy użytkownicy otrzymywali komunikat o tym, że muszą uwierzytelnić się do maila wewnątrz infrastruktury Facebooka. Dotychczas uważano, że to jedynie "wątpliwej jakości" metoda odsiania botów. Wygląda na to, że chodziło o coś nieco innego.

W skrócie: Facebook prosił użytkowników o hasła do kont e-mail w trakcie rejestracji. Jak utrzymuje sam gigant, ten mechanizm miał zastosowanie tylko w przypadku, gdy próba zarejestrowania się pochodziła z podejrzanego adresu i istniało ryzyko, że jest ona związana z działalnością szkodliwych botów. Warto przy tej okazji wspomnieć, że dostępne były również inne metody dodatkowego potwierdzenia własnej tożsamości, ale były one dosyć sprytnie ukryte – użytkownicy mogli odnieść wrażenie, że podanie hasła do konta e-mail jest jedyną metodą zakończenia rejestracji.

Wtedy również uznałem, że Facebook zwyczajnie popełnił paskudny błąd. Tyle mówi się o tym, że nie warto podawać danych do usług, w których jesteśmy zarejestrowani gdziekolwiek poza nimi. A zatem – Facebook nie powinien nas prosić o to, by podać hasło do skrzynki mailowej. Nawet, jeżeli nie ma w tym złych zamiarów; powinien pamiętać o „higienie” korzystania z usług w internecie. Pokazanie użytkownikowi, że taki gigant jak Facebook prosi go o podanie hasła do skrzynki e-mail może znieczulić go w przyszłości np. na próby wyłudzenia danych związanych z phishingiem.


Facebook jednak brzydko zabawił się z danymi w skrzynkach mailowych

I co istotne, nie wspominał o tym w komunikatach, które jednoznacznie wskazywały użytkownikom na konieczność uwierzytelnienia się do skrzynki mailowej. Chodzi tutaj o zgodę na przetwarzanie… list kontaktów. Wygląda na to, że po wpisaniu adresu e-mail oraz hasła do tejże usługi, Facebook automatycznie pobierał listę wszystkich osób, z którymi się kontaktowaliśmy. Gigant już odniósł się do tej sprawy i twierdzi, że doszło do tego w sposób omyłkowy i w tym momencie mechanizm weryfikacyjny nie prowadzi już takich praktyk (zasadniczo jest on całkowicie wyłączony z uwagi na kontrowersje).

Problem pobranych list kontaktów z adresów e-mail dotyczy 1,5 mln kont. Facebook twierdzi w tym momencie, że do ich zebrania doszło absolutnie przypadkowo i nie było to działanie intencjonalne. Dodatkowo, w najbliższych dniach gigant ma usunąć te dane ze swoich serwerów. Przyznam szczerze, że jestem niesamowicie zaskoczony zarówno tym, że Facebook dopuścił się takiego procederu, a także reakcją na jego odkrycie.

Trudno mi wyobrazić sobie, że taki gigant jak Facebook w takim przypadku mówi o „błędzie” – osobiście uważam, że był absolutnie świadom tego co robi, jednak w momencie, gdy mleko się rozlało postanowił zrobić krok w tył i przykryć sprawę kołderką „błędu”. Pytanie co jeszcze serwis Zuckerberga robi bez naszej wiedzy i w momencie krytycznym nazwie to „pomyłką”…