Rekken av personvernbrudd synes endeløs for sosiale medier-kjempen, som atter en gang blir kritisert for tvilsom praksis.
I helgen ble det kjent at Facebook i registreringsprosessen for nye brukere krevde at brukere avslørte sine hemmelige passord til ekstern epost.
Twitter-profilen e-sushi oppdaget det ekstra trinnet i prosessen med å registrere nye brukere, som får omtale i en rekke medier verden over.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31. mars 2019
Det er kun de med eposttjeneste uten støtte for autentiseringsprotokollen OAuth som skal ha blitt bedt om å røpe passordene sine direkte til Facebook.
– Dette er hinsides. De bør ikke ta imot passordet ditt. Hvis det er hva som kreves for å registrere deg hos Facebook, er det bedre å ikke være der, sier en sikkerhetsrådgiver til Daily Beast.
Lover å slutte
Facebook hevder overfor nettstedet at de ikke har lagret disse passordene. De vedgår samtidig at passord-kravet nok ikke var særlig smart, og at de derfor skal slutte med det, uten at det fremgår når dette blir endret.
– Vi forstår at opsjonen for passord-bekreftelse ikke er den beste måten å gjøre dette på, så vi skal slutte å tilby dette, lyder selskapets svar.
Selskapet hevder overfor The Telegraph at anmodningen om å utlevere epostpassord ble gjort for å unngå et ekstra trinn i bekreftelsesprosessen ved nyregistreringer. De hevder også at bare et mindre antall personer er berørt.
I likhet med blant annet pinkoder til bankkort og mobil er det et opplagt råd at passord til epost aldri bør deles med tredjepart, langt mindre et selskap som for mindre enn to uker siden innrømmet å ha lagret flere hundre millioner brukerpassord i klartekst.
- Mer trøbbel: Facebook risikerer milliardbot
