Foto: Jeff Chiu (AP)
Facebook wurde aufgefordert einige Benutzer bei der Registrierung für die erste Zeit mit der hand über die Passwörter zu Ihren E-Mail-Konten, die Daily Beast berichtete am Dienstag, eine Praxis, die plärrt rechts vorbei fragwürdig und in “jenseits von sketchy” Gebiet, security consultant Jake Williams sagte das Tier.
Ein Twitter-account mit dem handle @originalesushi zuerst veröffentlicht ein Bild auf dem Bildschirm vor einigen Tagen, in denen die neuen Nutzer gesagt, Sie können bestätigen Sie Ihre Drittanbieter-E-Mail-Adressen “automatisch”, indem Facebook Sie Ihre Zugangsdaten. Die Beast schrieb, dass die Aufforderung erschien auslösen, unter Umständen, wo Facebook könnte denken, so ein sign-up versuchen wird, “verdächtig”, und bestätigt auf deren Ende durch “Verwendung einer Einweg-webmail-Adresse und die Verbindung über einen VPN in Rumänien.”
Es ist nie ratsam für einen Benutzer, geben Sie Ihre E-Mail-Passwort niemandem mit, außer vielleicht, um zu 100 Prozent verifiziert Konto-administrator, wenn keine andere Möglichkeit vorhanden ist (sollte es sein). E-Mail-Konten tendenziell primären gateways in den rest der Bahn, denn eine solche ist in der Regel notwendig, sich zu registrieren accounts auf alles, was von Banken und Finanzinstituten social-media-Konten und porno-Seiten. Sie offensichtlich auch enthalten Kopien von jedem un-gelöschte Nachricht jemals gesendet oder von dieser Adresse, sowie zusätzliche Informationen wie Kontakt-Listen. Es ist aus diesem Grund, dass E-Mail-Passwort-Anfragen sind eine der offensichtlichsten Zeichen eines phishing-Betrug.
“Das ist jenseits von sketchy,” Williams sagte das Tier. “Sie sollten nicht unter Ihrem Passwort oder dem Umgang mit Ihrem Passwort in den hintergrund. Wenn es das ist, was erforderlich ist, um sich anmelden mit Facebook, die sollte man besser nicht auf Facebook.”
“Dies ist im wesentlichen nicht zu unterscheidend einer phishing-Attacke, die” Electronic Frontier Foundation security researcher Bennett Cyphers sagte Business Insider. “Das ist schlecht auf so vielen Ebenen. Es ist eine absurde übergreifen von Facebook und ein schmieriger Versuch, um die Menschen zu täuschen, um den upload von Daten zu Ihren Kontakten auf Facebook, wie der Preis der Anmeldung… Kein Unternehmen sollte immer sein, Leute zu Fragen, für die Anmeldeinformationen wie diese, und Sie sollten nicht Vertrauen, jemand, das tut.”
Ein Facebook-Sprecher bestätigte in einer Erklärung gegenüber Gizmodo, dass dieser Bildschirm erscheint für einige Benutzer die Anmeldung für die erste Zeit, obwohl die Firma schrieb, “Diese Kennwörter werden nicht gespeichert von Facebook.” Zusätzlich zeichnet sich die Anzahl der Benutzer, die Sie bittet, für E-Mail-Passwörter als “sehr klein.” Diejenigen, die mit dem Bildschirm waren der Anmeldung auf desktop, während die Verwendung von E-Mail-Adressen, die nicht unterstützt OAuth—ein offener standard zum Dritten erlaubt die authentifizierte Zugriff auf die Vermögenswerte (wie für die Zwecke der überprüfung der Identität), ohne die Zugangsdaten. OAuth ist in der Regel ein standard-feature der wichtigsten E-Mail Anbieter.
Facebook stellte in der Aussage, dass diese Benutzer diesen Bildschirm präsentiert, könnte die opt-out-teilen-Passwörter und verwenden Sie eine andere überprüfungsmethode, wie E-Mail oder Telefon. Die Firma sagte auch, es wäre die Beendigung der Praxis zu Fragen, die Sie für E-Mail-Adressen.
“Menschen können immer wählen, stattdessen bestätigen Sie Ihr Konto mit einem code an Ihr Handy oder einen link an Ihre E-Mail -,” der Sprecher schrieb. “Das heißt, wir verstehen die überprüfung Passwort-option ist nicht der beste Weg zu gehen über diese, so werden wir mehr anzubieten.”
Aber die anderen Optionen könnten nur erreicht werden, indem Sie auf “Benötigen Sie Hilfe?” – button im obigen screenshot, die nicht eine offensichtliche Art und Weise zu kommunizieren, dass es andere Möglichkeiten.
Business Insider gefunden, die Anmeldung für ein Konto mit dieser Methode zusätzlich fordert die Benutzer, die Facebook “importieren von Kontakten” ohne um Erlaubnis zu Fragen, wenn es nicht “sofort klar, ob das tool tatsächlich importiert diese Kontakte”:
Business Insider hat auch festgestellt, dass, wenn ein neuer Benutzer geben Sie Ihre e-mail-Konto-Passwort in Facebook ein pop-up erscheint, die sagen, dass Facebook “Kontakte importieren” — trotz der nicht in dem der Benutzer aufgefordert, dies zu tun. Es ist nicht sofort klar, ob das tool tatsächlich importiert diese Kontakte, da es offenbar nicht ziehen Sie in der Kontaktliste die Einträge, die wir für die Zwecke der Prüfung, obwohl diese Kontakte waren nur wenige Minuten alt.
Erreichbar über Telefon, ein Facebook-Sprecher bestätigt, dass die übergabe der E-Mail-Anmeldeinformationen wurde “angeboten, die seit Jahren”, und dass “Die Absicht, diese option war einfach das Konto zu bestätigen.” Der Sprecher sagte, dass Sie nicht wissen, ob Facebook zugegriffen hatte alle Daten in Konten, erhalten Sie Passwörter, um—wie Kontakt-Listen, die es verwendet, um die Brennstoff-Funktionen wie seine Menschen, die Sie Vielleicht Wissen von system—aber würde follow-up mit einer Antwort. (Wir aktualisieren diesen Artikel, wenn wir hören, zurück.)
Während Facebook sagte, dass es nicht speichern Sie die Kennwörter, es hat auch vermeintliche Sicherheitsfunktionen wie zwei-Faktor-Authentifizierung als einen Vorwand, um spam-Benutzer ” Handys mit SMS-Nachrichten und streiten Telefonnummern für gezielte Werbung. Facebook hat auch in der Vergangenheit ausgestellt widersprüchliche Aussagen darüber, welche Art von Daten es sammelt (wie call-Daten-und app-Nutzung auf seinem Portal, video-Telefone), gestartet pseudo-VPN-apps, die abgesaugt Benutzer-Daten, und scheinbar verschleiert, wie die Benutzer kontrollieren kann, ob es erhält Anruf-und text-Daten. Ende letzten Monats, Nachrichten zugespielt, die darauf gespeichert sind Hunderte von Millionen von Benutzer-Passwörter im Klartext.
[Business Insider/The Daily Beast]
Teilen Sie Diese Geschichte