Mạng xã hội này đang yêu cầu một số người dùng mới cho mật khẩu email của họ và dường như đang thu thập danh bạ của họ mà không có sự đồng ý
Facebook yêu cầu một số người dùng mới cung cấp mật khẩu cho mạng xã hội vào tài khoản email của họ, một động thái mà các chuyên gia bảo mật cho rằng có liên quan đến bảo mật - và điều đó có thể dạy mọi người tham gia vào hành vi "rủi ro" trực tuyến.
Thông thường, mọi người được khuyến khích bởi các chuyên gia bảo mật không bao giờ chia sẻ mật khẩu của họ hoặc nhập chúng vào bất kỳ dịch vụ nào ngoài dịch vụ mà họ dự định, để tránh nguy cơ "tấn công lừa đảo" nơi mật khẩu và thông tin cá nhân của người dùng bị đánh cắp.
Nhưng trên Facebook, khi người dùng cố gắng đăng ký với một số nhà cung cấp email nhất định, bao gồm Yandex và GMX, họ yêu cầu "xác nhận địa chỉ email của bạn" bằng cách nhập trực tiếp mật khẩu của họ vào Facebook, như The Daily Beast đã báo cáo trước đó .
 |
| Facebook đang cố thu thập danh bạ mà không có sự đồng ý của người sử dụng |
Người dùng của các nhà cung cấp email khác như Gmail của Google không thấy tùy chọn này, vì nó sử dụng công cụ ủy quyền OAuth - một công cụ phổ biến để xác minh an toàn danh tính của bạn mà không yêu cầu bạn nhập mật khẩu như Facebook đang làm ở đây.
Business Insider cũng đã phát hiện ra rằng nếu một người dùng mới chọn nhập mật khẩu tài khoản email của họ vào Facebook, một cửa sổ bật lên xuất hiện nói rằng Facebook đang "nhập danh bạ" - mặc dù không yêu cầu người dùng cho phép làm như vậy. Vẫn chưa rõ liệu công cụ này có thực sự nhập các liên hệ này hay không, vì rõ ràng nó không kéo vào các mục trong danh sách liên lạc mà chúng tôi đã thực hiện cho mục đích thử nghiệm, mặc dù các liên hệ này chỉ mới vài phút.
Đưa ra bình luận, một phát ngôn viên của Facebook cho biết công ty hiện đang ngừng tính năng này, mặc dù công ty không cung cấp khung thời gian.
'Về cơ bản không thể phân biệt được với một cuộc tấn công lừa đảo'
Bennett Cyphers, một nhà nghiên cứu bảo mật với nhóm vận động của Electronic Frontier Foundation, đã chỉ trích gay gắt hành động của Facebook. "Điều này về cơ bản không thể phân biệt được với một cuộc tấn công lừa đảo", ông nói trong một cuộc gọi, chỉ ra rằng mọi người thường được khuyến khích không bao giờ cung cấp mật khẩu của họ cho bất kỳ ai khác ngoài trang web mà họ đã tạo.
"Điều này rất tệ ở nhiều cấp độ. Đó là một sự vượt quá vô lý của Facebook và một nỗ lực nhếch nhác để lừa mọi người tải dữ liệu về danh bạ của họ lên Facebook như một giá đăng ký. Ngay cả khi bạn đồng ý tải thông tin liên hệ lên Facebook, bạn nên không bao giờ phải nhập mật khẩu email của bạn để làm điều đó ", Cyphers viết trong email tiếp theo.
"Không có công ty nào nên yêu cầu mọi người cung cấp thông tin như thế này và bạn không nên tin bất cứ ai làm điều đó. Điều này đi ngược lại với tất cả sự khôn ngoan bảo mật thông thường, sự kiên quyết cơ bản và lẽ thường", ông viết.
|
| Facebook đang cố thu thập danh bạ mà không có sự đồng ý của người sử dụng |
Troy Hunt, một chuyên gia bảo mật và nhà điều hành dịch vụ thông báo hack Tôi đã bị Pwned, cũng rất quan trọng. "Đây chắc chắn là một mô hình chống bảo mật trong chừng mực vì nó liên quan đến việc chia sẻ bí mật của một nền tảng (nhà cung cấp email) với một nền tảng khác (Facebook)", ông viết trong email.
"Trong khi Facebook chắc chắn sẽ thực hiện các biện pháp phòng ngừa để bảo vệ mật khẩu tài khoản email, thì cảm thấy không cần thiết khi có một giải pháp thay thế dễ dàng (tức là cách tiếp cận với tài khoản Gmail) và khiến mọi người phải tham gia vào hành vi rủi ro", ông viết.
Biểu mẫu nhập mật khẩu nói rằng mật khẩu không được Facebook lưu trữ, nhưng không có cách nào để kiểm tra độc lập điều này và xác nhận rằng đó là trường hợp. Gần đây đã tiết lộ rằng công ty đã lưu trữ hàng trăm triệu mật khẩu của người dùng bằng văn bản đơn giản , vi phạm các thực tiễn tốt nhất về bảo mật được tổ chức rộng rãi.
Trong một tuyên bố, một phát ngôn viên của Facebook cho biết: "Những mật khẩu này không được Facebook lưu trữ. Một nhóm rất nhỏ có tùy chọn nhập mật khẩu email để xác minh tài khoản của họ khi họ đăng ký Facebook lần đầu tiên. Mọi người luôn có thể thay vào đó, chọn xác nhận tài khoản của họ bằng mã được gửi đến điện thoại của họ hoặc liên kết được gửi đến email của họ. "
Người phát ngôn nói thêm: "Điều đó nói rằng, chúng tôi hiểu tùy chọn xác minh mật khẩu không phải là cách tốt nhất để giải quyết vấn đề này, vì vậy chúng tôi sẽ ngừng cung cấp nó."
Nguồn Business Insider