Facebook正在向一些新用戶詢問他們的電子郵件密碼

Facebook要求一些新用戶為他們的電子郵件帳戶提供密碼。

此舉令安全專家感到震驚，他們警告稱，這可能會鼓勵用戶參與“冒險”行為并增加被黑客攻擊的可能性。

社交網(wǎng)絡似乎也在不征求許可的情況下訪問這些用戶的聯(lián)系人。

該公司現(xiàn)在表示它正在停止使用此登錄工具，盡管它沒有給出時間表。

Facebook要求一些新用戶向他們的電子郵件帳戶提供社交網(wǎng)絡密碼，這是安全專家所說的有關安全隱患的舉措 - 這可能會教會人們在網(wǎng)上進行“冒險”行為。

通常，安全專家敦促人們不要共享他們的密碼或將其輸入到他們預期的服務之外的任何服務中，以避免用戶的密碼和個人信息被盜的“網(wǎng)絡釣魚攻擊”的風險。

但在Facebook上，當用戶嘗試注冊某些電子郵件提供商(包括Yandex和GMX)時，它會通過直接在Facebook中輸入密碼來“確認您的電子郵件地址”，正如之前由The Daily Beast報道的那樣。

其他電子郵件提供商(如Google的Gmail)的用戶看不到該選項，因為它使用授權工具OAuth - 一種安全驗證身份的常用工具，無需您在此處輸入密碼。

Business Insider還發(fā)現(xiàn)，如果新用戶選擇將他們的電子郵件帳戶密碼輸入Facebook，則會出現(xiàn)一個彈出窗口，表示Facebook正在“導入聯(lián)系人” - 盡管沒有要求用戶允許這樣做。目前還不清楚這個工具是否實際導入了這些聯(lián)系人，因為它顯然沒有提取我們?yōu)闇y試目的而制作的聯(lián)系人列表條目，盡管這些聯(lián)系人只有幾分鐘的時間。

“基本上與網(wǎng)絡釣魚攻擊無法區(qū)分”

貝尼特·塞普爾斯(Bennett Cyphers)是電子前沿基金會(Electronic Frontier Foundation)倡導組織的安全研究員，他對Facebook的行為提出了嚴厲的批評。“這基本上與網(wǎng)絡釣魚攻擊無法區(qū)分，”他在電話中說，并指出通常敦促人們永遠不要將密碼提供給他們創(chuàng)建的網(wǎng)站以外的任何人。

“這在很多層面上都很糟糕。這是Facebook的一個荒謬的超越，以及欺騙人們將他們的聯(lián)系人數(shù)據(jù)上傳到Facebook作為注冊價格的愚蠢嘗試。即使你同意將聯(lián)系信息上傳到Facebook，你應該從來沒有必要輸入你的電子郵件密碼，“Cyphers在后續(xù)電子郵件中寫道。

他寫道：“任何公司都不應該向人們要求這樣的證件，你不應該相信任何人。這違背了所有傳統(tǒng)的安全智慧，基本體面和常識。”

特洛伊亨特，一個安全專家和黑客通知服務的運營商，我已經(jīng)被告知，也是至關重要的。“這肯定是一種安全反模式，因為它涉及將一個平臺(電子郵件提供商)的秘密與另一個平臺(Facebook)共享，”他在一封電子郵件中寫道。

“雖然Facebook肯定會采取預防措施來保護電子郵件帳戶密碼，但如果有一個簡單的替代方案(即他們使用Gmail帳戶采取的方法)，并且確實讓人們參與危險行為，就會覺得沒必要，”他寫道。

密碼輸入表格表示密碼不是由Facebook存儲的，但沒有辦法獨立審核，并確認是這種情況。最近發(fā)現(xiàn)，該公司以純文本形式存儲了數(shù)億用戶的密碼，違反了廣泛的安全最佳實踐。

Facebook發(fā)言人在一份聲明中說：“這些密碼不是由Facebook存儲的。一小部分人可以選擇在他們第一次注冊Facebook時輸入他們的電子郵件密碼來驗證他們的帳戶。人們可以隨時請選擇通過發(fā)送到手機的代碼或發(fā)送到其電子郵箱的鏈接來確認其帳戶。“

該發(fā)言人補充說：“那就是說，我們知道密碼驗證選項不是解決這個問題的最佳方式，所以我們將停止提供它。”