Photo: Jeff Chiu (AP)
Facebook a été poussé certains utilisateurs de s’inscrire pour la première fois à la main sur les mots de passe de leurs comptes e-mail, le Daily Beast a rapporté, mardi, une pratique qui retentit la droite passé douteux et dans “au-delà de croquis” territoire, consultant en sécurité Jake Williams a dit à la Bête.
Un compte Twitter à l’aide de la poignée @originalesushi d’abord posté une image de l’écran il y a quelques jours, dans lequel les nouveaux utilisateurs sont informés qu’ils peuvent confirmer leur tiers adresses e-mail “automatiquement” en donnant Facebook leurs identifiants de connexion. La Bête a écrit que l’invite semblait déclencher dans des circonstances où Facebook pourrait croire à un signe-vers le haut tentative est “suspect”, et confirmé sur leur fin par “à l’aide d’un jetable adresse webmail et de la connexion via un VPN en Roumanie.”
Il n’est jamais, jamais conseillé à l’utilisateur de donner leur e-mail mot de passe à personne, sauf peut-être à 100% vérifié administrateur de compte lorsqu’aucune autre option n’existe (ce qui devrait être). Comptes de messagerie ont tendance à être primaire des passerelles vers le reste du web, car un valide est généralement nécessaire de créer des comptes sur tout ce que les banques et les institutions financières comptes de médias sociaux et les sites porno. Il est évident qu’ils contiennent également des copies de chacun des nations unies-message supprimé jamais envoyé à ou à partir de cette adresse, ainsi que des informations supplémentaires telles que des listes de contacts. C’est pour cette raison que le mot de passe de messagerie demandes sont l’une des plus évidentes caractéristiques d’une arnaque par hameçonnage.
“C’est au-delà de croquis,” Williams a dit à la Bête. “Ils ne devraient pas être en tenant votre mot de passe ou la manipulation de votre mot de passe dans l’arrière-plan. Si c’est ce qui est requis pour s’inscrire avec Facebook, vous êtes mieux de ne pas être sur Facebook.”
“C’est fondamentalement impossible à distinguer d’une attaque de phishing,” Electronic Frontier Foundation chercheur en sécurité Bennett méthode de chiffrement dit à Business Insider. “Ce qui est mauvais sur de nombreux niveaux. C’est absurde duper par Facebook et un sordide tentative de tromper les gens de télécharger des données sur leurs contacts Facebook que le prix de l’inscription… Aucune entreprise ne devrait jamais être demander aux gens pour les informations d’identification de ce type, et vous ne devriez pas faire confiance à quelqu’un qui le fait.”
Un Facebook porte-parole a confirmé dans une déclaration à Gizmodo que cet écran s’affiche pour certains utilisateurs de signer pour la première fois, si la société a, “Ces mots de passe ne sont pas stockés par Facebook.” Elle a en outre caractérisé le nombre d’utilisateurs, qu’il demande le mots de passe de messagerie comme “très petite”. Ceux qui sont présentés à l’écran de la signature sur le bureau lors de l’utilisation d’adresses e-mail n’a pas en charge l’authentification OAuth—un standard ouvert pour permettre à des tiers l’accès authentifié à des actifs (comme pour la vérification des identités) sans partager vos informations de connexion. OAuth est généralement une caractéristique standard des principaux services de messagerie.
Facebook a noté dans la déclaration que les utilisateurs présenté avec cet écran pourrait choisir de partager les mots de passe et d’utiliser une autre méthode de vérification tels que le courriel ou le téléphone. La société a également dit qu’il serait mettre fin à la pratique de poser pour les mots de passe de messagerie.
“Les gens peuvent toujours choisir à la place de confirmer leur compte avec un code envoyé sur votre téléphone ou sur un lien envoyé à leur adresse électronique,” le porte-parole de l’écrit. “Cela dit, nous comprenons le mot de passe de vérification de l’option n’est pas la meilleure façon d’aller à ce sujet, nous allons donc arrêter de les offrir.”
Cependant, ces autres options peut uniquement être atteint en cliquant sur le “Besoin d’aide?” bouton vu dans la capture ci-dessus, ce qui n’est pas une manière évidente de la communication qu’il y a d’autres options.
Business Insider a constaté que la signature pour un compte à l’aide de cette méthode en outre invite les utilisateurs que Facebook est “importer des contacts” sans demander la permission, mais il n’était pas immédiatement clair si cet outil en fait, les importations de ces contacts”:
Business Insider a également constaté que si un utilisateur choisit d’entrer leur adresse e-mail mot de passe du compte dans Facebook, une fenêtre pop-up s’affiche, indiquant que Facebook est “importer des contacts” — en dépit de ne pas demander à l’utilisateur l’autorisation de le faire. Il n’est pas immédiatement clair si cet outil en fait, les importations de ces contacts, comme il n’a apparemment pas tirer dans la liste de contacts entrées, nous avons pris pour l’application de test, bien que ces contacts ont été quelques minutes seulement de la vieille.
A atteint plus de téléphone, un Facebook porte-parole a confirmé que la distribution par e-mail les identifiants de connexion a été “offert depuis des années” et que “L’objectif de cette option est de simplement confirmer le compte.” Le porte-parole dit qu’ils ne savaient pas si Facebook avait accédé à toutes les données des comptes qu’il a obtenu les mots de passe pour—comme des listes de contacts, qui l’utilise pour alimenter des caractéristiques comme sa les Personnes que Vous Connaissez le système, mais de suivre avec une réponse. (Nous mettrons à jour cet article si nous entendre en arrière.)
Alors que Facebook a dit qu’il n’a pas stocker les mots de passe, il a également utilisé ostensible des fonctionnalités de sécurité telles que l’authentification à deux facteurs comme un prétexte pour spam les téléphones des utilisateurs avec des messages texte et de se quereller des numéros de téléphone des fins de publicité ciblée. Facebook a également délivré par le passé des déclarations contradictoires au sujet de quel genre de données qu’il collecte (telles que les données d’appel et l’utilisation de ces applications sur son Portail vidéo des téléphones), lancé pseudo-VPN applications qui aspirés données de l’utilisateur, et apparemment caché de la façon dont les utilisateurs pourraient contrôler si elle obtient d’appels et de données texte. La fin du mois dernier, les nouvelles de fuite, il a stocké des centaines de millions d’utilisateurs des mots de passe en clair dans le texte.
[Business Insider/The Daily Beast]
Partager Cette Histoire