Facebook正在向一些新用戶詢問(wèn)他們的電子郵件密碼

Facebook要求一些新用戶為他們的電子郵件帳戶提供密碼。

此舉令安全專家感到震驚，他們警告稱，這可能會(huì)鼓勵(lì)用戶參與“冒險(xiǎn)”行為并增加被黑客攻擊的可能性。

社交網(wǎng)絡(luò)似乎也在不征求許可的情況下訪問(wèn)這些用戶的聯(lián)系人。

該公司現(xiàn)在表示它正在停止使用此登錄工具，盡管它沒有給出時(shí)間表。

Facebook要求一些新用戶向他們的電子郵件帳戶提供社交網(wǎng)絡(luò)密碼，這是安全專家所說(shuō)的有關(guān)安全隱患的舉措 - 這可能會(huì)教會(huì)人們?cè)诰W(wǎng)上進(jìn)行“冒險(xiǎn)”行為。

通常，安全專家敦促人們不要共享他們的密碼或?qū)⑵漭斎氲剿麄冾A(yù)期的服務(wù)之外的任何服務(wù)中，以避免用戶的密碼和個(gè)人信息被盜的“網(wǎng)絡(luò)釣魚攻擊”的風(fēng)險(xiǎn)。

但在Facebook上，當(dāng)用戶嘗試注冊(cè)某些電子郵件提供商(包括Yandex和GMX)時(shí)，它會(huì)通過(guò)直接在Facebook中輸入密碼來(lái)“確認(rèn)您的電子郵件地址”，正如之前由The Daily Beast報(bào)道的那樣。

其他電子郵件提供商(如Google的Gmail)的用戶看不到該選項(xiàng)，因?yàn)樗褂檬跈?quán)工具OAuth - 一種安全驗(yàn)證身份的常用工具，無(wú)需您在此處輸入密碼。

Business Insider還發(fā)現(xiàn)，如果新用戶選擇將他們的電子郵件帳戶密碼輸入Facebook，則會(huì)出現(xiàn)一個(gè)彈出窗口，表示Facebook正在“導(dǎo)入聯(lián)系人” - 盡管沒有要求用戶允許這樣做。目前還不清楚這個(gè)工具是否實(shí)際導(dǎo)入了這些聯(lián)系人，因?yàn)樗@然沒有提取我們?yōu)闇y(cè)試目的而制作的聯(lián)系人列表?xiàng)l目，盡管這些聯(lián)系人只有幾分鐘的時(shí)間。

Facebook發(fā)言人表示，該公司現(xiàn)已停止使用該功能，但該公司沒有提供時(shí)間表。

“基本上與網(wǎng)絡(luò)釣魚攻擊無(wú)法區(qū)分”

貝尼特·塞普爾斯(Bennett Cyphers)是電子前沿基金會(huì)(Electronic Frontier Foundation)倡導(dǎo)組織的安全研究員，他對(duì)Facebook的行為提出了嚴(yán)厲的批評(píng)。“這基本上與網(wǎng)絡(luò)釣魚攻擊無(wú)法區(qū)分，”他在電話中說(shuō)，并指出通常敦促人們永遠(yuǎn)不要將密碼提供給他們創(chuàng)建的網(wǎng)站以外的任何人。

“這在很多層面上都很糟糕。這是Facebook的一個(gè)荒謬的超越，以及欺騙人們將他們的聯(lián)系人數(shù)據(jù)上傳到Facebook作為注冊(cè)價(jià)格的愚蠢嘗試。即使你同意將聯(lián)系信息上傳到Facebook，你應(yīng)該從來(lái)沒有必要輸入你的電子郵件密碼，“Cyphers在后續(xù)電子郵件中寫道。

他寫道：“任何公司都不應(yīng)該向人們要求這樣的證件，你不應(yīng)該相信任何人。這違背了所有傳統(tǒng)的安全智慧，基本體面和常識(shí)。”

特洛伊亨特，一個(gè)安全專家和黑客通知服務(wù)的運(yùn)營(yíng)商，我已經(jīng)被告知，也是至關(guān)重要的。“這肯定是一種安全反模式，因?yàn)樗婕皩⒁粋€(gè)平臺(tái)(電子郵件提供商)的秘密與另一個(gè)平臺(tái)(Facebook)共享，”他在一封電子郵件中寫道。

“雖然Facebook肯定會(huì)采取預(yù)防措施來(lái)保護(hù)電子郵件帳戶密碼，但如果有一個(gè)簡(jiǎn)單的替代方案(即他們使用Gmail帳戶采取的方法)，并且確實(shí)讓人們參與危險(xiǎn)行為，就會(huì)覺得沒必要，”他寫道。

密碼輸入表格表示密碼不是由Facebook存儲(chǔ)的，但沒有辦法獨(dú)立審核，并確認(rèn)是這種情況。最近發(fā)現(xiàn)，該公司以純文本形式存儲(chǔ)了數(shù)億用戶的密碼，違反了廣泛的安全最佳實(shí)踐。

Facebook發(fā)言人在一份聲明中說(shuō)：“這些密碼不是由Facebook存儲(chǔ)的。一小部分人可以選擇在他們第一次注冊(cè)Facebook時(shí)輸入他們的電子郵件密碼來(lái)驗(yàn)證他們的帳戶。人們可以隨時(shí)請(qǐng)選擇通過(guò)發(fā)送到手機(jī)的代碼或發(fā)送到其電子郵箱的鏈接來(lái)確認(rèn)其帳戶。“

該發(fā)言人補(bǔ)充說(shuō)：“那就是說(shuō)，我們知道密碼驗(yàn)證選項(xiàng)不是解決這個(gè)問(wèn)題的最佳方式，所以我們將停止提供它。”