Z prośbą o podanie hasła do e-maila mogli spotkać się nowi użytkownicy korzystający z mniej popularnych serwisów pocztowych. Facebook nie wyłudzał natomiast haseł użytkowników Gmaila, ponieważ do autoryzacji w przypadku poczty Google portal wykorzystuje protokół OAuth. O sprawie poinformował na Twitterze programista przedstawiający się jako e-sushi.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Administracja Facebooka twierdzi, że hasła do e-maili nie były przechowywane na serwerach firmy. Mimo to, takie praktyki są co najmniej dziwne. Po ich nagłośnieniu, amerykański serwis społecznościowy zmienił formularz rejestracyjny. Od teraz po utworzeniu konta w celu jego aktywacji wysyłany jest kod, który należy wpisać w pole tekstowe Facebooka.
To kolejny przypadek stosowania potencjalnie groźnych dla użytkowników praktyk przez programistów Facebooka. Pod koniec marca informowaliśmy, że hasła wielu milionów użytkowników były przechowywane na serwerach firmy w niezaszyfrowanej formie. A to wszystko w rok po skandalu związanym z przekazywaniem informacji o użytkownikach firmie Cambridge Analytica, czego wynikiem było przesłuchanie Marka Zuckerberga przed Kongresem USA. | CHIP