2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
Facebook要求一些新用戶為他們的電子郵件帳戶提供密碼。
此舉令安全專家感到震驚,他們警告稱,這可能會(huì)鼓勵(lì)用戶參與“冒險(xiǎn)”行為并增加被黑客攻擊的可能性。
社交網(wǎng)絡(luò)似乎也在不征求許可的情況下訪問這些用戶的聯(lián)系人。
該公司現(xiàn)在表示它正在停止使用此登錄工具,盡管它沒有給出時(shí)間表。
Facebook要求一些新用戶向他們的電子郵件帳戶提供社交網(wǎng)絡(luò)密碼,這是安全專家所說的有關(guān)安全隱患的舉措 - 這可能會(huì)教會(huì)人們?cè)诰W(wǎng)上進(jìn)行“冒險(xiǎn)”行為。
通常,安全專家敦促人們不要共享他們的密碼或?qū)⑵漭斎氲剿麄冾A(yù)期的服務(wù)之外的任何服務(wù)中,以避免用戶的密碼和個(gè)人信息被盜的“網(wǎng)絡(luò)釣魚攻擊”的風(fēng)險(xiǎn)。
但在Facebook上,當(dāng)用戶嘗試注冊(cè)某些電子郵件提供商(包括Yandex和GMX)時(shí),它會(huì)通過直接在Facebook中輸入密碼來“確認(rèn)您的電子郵件地址”,正如之前由The Daily Beast報(bào)道的那樣。
其他電子郵件提供商(如Google的Gmail)的用戶看不到該選項(xiàng),因?yàn)樗褂檬跈?quán)工具OAuth - 一種安全驗(yàn)證身份的常用工具,無需您在此處輸入密碼。
Business Insider還發(fā)現(xiàn),如果新用戶選擇將他們的電子郵件帳戶密碼輸入Facebook,則會(huì)出現(xiàn)一個(gè)彈出窗口,表示Facebook正在“導(dǎo)入聯(lián)系人” - 盡管沒有要求用戶允許這樣做。目前還不清楚這個(gè)工具是否實(shí)際導(dǎo)入了這些聯(lián)系人,因?yàn)樗@然沒有提取我們?yōu)闇y試目的而制作的聯(lián)系人列表?xiàng)l目,盡管這些聯(lián)系人只有幾分鐘的時(shí)間。
Facebook發(fā)言人表示,該公司現(xiàn)已停止使用該功能,但該公司沒有提供時(shí)間表。
“基本上與網(wǎng)絡(luò)釣魚攻擊無法區(qū)分”
貝尼特·塞普爾斯(Bennett Cyphers)是電子前沿基金會(huì)(Electronic Frontier Foundation)倡導(dǎo)組織的安全研究員,他對(duì)Facebook的行為提出了嚴(yán)厲的批評(píng)。“這基本上與網(wǎng)絡(luò)釣魚攻擊無法區(qū)分,”他在電話中說,并指出通常敦促人們永遠(yuǎn)不要將密碼提供給他們創(chuàng)建的網(wǎng)站以外的任何人。
“這在很多層面上都很糟糕。這是Facebook的一個(gè)荒謬的超越,以及欺騙人們將他們的聯(lián)系人數(shù)據(jù)上傳到Facebook作為注冊(cè)價(jià)格的愚蠢嘗試。即使你同意將聯(lián)系信息上傳到Facebook,你應(yīng)該從來沒有必要輸入你的電子郵件密碼,“Cyphers在后續(xù)電子郵件中寫道。
他寫道:“任何公司都不應(yīng)該向人們要求這樣的證件,你不應(yīng)該相信任何人。這違背了所有傳統(tǒng)的安全智慧,基本體面和常識(shí)。”
特洛伊亨特,一個(gè)安全專家和黑客通知服務(wù)的運(yùn)營商,我已經(jīng)被告知,也是至關(guān)重要的。“這肯定是一種安全反模式,因?yàn)樗婕皩⒁粋€(gè)平臺(tái)(電子郵件提供商)的秘密與另一個(gè)平臺(tái)(Facebook)共享,”他在一封電子郵件中寫道。
“雖然Facebook肯定會(huì)采取預(yù)防措施來保護(hù)電子郵件帳戶密碼,但如果有一個(gè)簡單的替代方案(即他們使用Gmail帳戶采取的方法),并且確實(shí)讓人們參與危險(xiǎn)行為,就會(huì)覺得沒必要,”他寫道。
密碼輸入表格表示密碼不是由Facebook存儲(chǔ)的,但沒有辦法獨(dú)立審核,并確認(rèn)是這種情況。最近發(fā)現(xiàn),該公司以純文本形式存儲(chǔ)了數(shù)億用戶的密碼,違反了廣泛的安全最佳實(shí)踐。
Facebook發(fā)言人在一份聲明中說:“這些密碼不是由Facebook存儲(chǔ)的。一小部分人可以選擇在他們第一次注冊(cè)Facebook時(shí)輸入他們的電子郵件密碼來驗(yàn)證他們的帳戶。人們可以隨時(shí)請(qǐng)選擇通過發(fā)送到手機(jī)的代碼或發(fā)送到其電子郵箱的鏈接來確認(rèn)其帳戶。“
該發(fā)言人補(bǔ)充說:“那就是說,我們知道密碼驗(yàn)證選項(xiàng)不是解決這個(gè)問題的最佳方式,所以我們將停止提供它。”
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。