Facebook正在向一些新用户询问他们的电子邮件密码

 中国邮箱网  0条评论  1736次浏览  2019年04月04日 星期四 09:25

分享到: 更多
中国邮箱网讯 4月4日消息 Facebook要求一些新用户为他们的电子邮件帐户提供密码。

此举令安全专家感到震惊,他们警告称,这可能会鼓励用户参与“冒险”行为并增加被黑客攻击的可能性。

社交网络似乎也在不征求许可的情况下访问这些用户的联系人。

该公司现在表示它正在停止使用此登录工具,尽管它没有给出时间表。

Facebook要求一些新用户向他们的电子邮件帐户提供社交网络密码,这是安全专家所说的有关安全隐患的举措 - 这可能会教会人们在网上进行“冒险”行为。


通常,安全专家敦促人们不要共享他们的密码或将其输入到他们预期的服务之外的任何服务中,以避免用户的密码和个人信息被盗的“网络钓鱼攻击”的风险。

但在Facebook上,当用户尝试注册某些电子邮件提供商(包括Yandex和GMX)时,它会通过直接在Facebook中输入密码来“确认您的电子邮件地址”,正如之前由The Daily Beast报道的那样。

其他电子邮件提供商(如Google的Gmail)的用户看不到该选项,因为它使用授权工具OAuth - 一种安全验证身份的常用工具,无需您在此处输入密码。

Business Insider还发现,如果新用户选择将他们的电子邮件帐户密码输入Facebook,则会出现一个弹出窗口,表示Facebook正在“导入联系人” - 尽管没有要求用户允许这样做。目前还不清楚这个工具是否实际导入了这些联系人,因为它显然没有提取我们为测试目的而制作的联系人列表条目,尽管这些联系人只有几分钟的时间。

Facebook发言人表示,该公司现已停止使用该功能,但该公司没有提供时间表。

“基本上与网络钓鱼攻击无法区分”

贝尼特·塞普尔斯(Bennett Cyphers)是电子前沿基金会(Electronic Frontier Foundation)倡导组织的安全研究员,他对Facebook的行为提出了严厉的批评。“这基本上与网络钓鱼攻击无法区分,”他在电话中说,并指出通常敦促人们永远不要将密码提供给他们创建的网站以外的任何人。

“这在很多层面上都很糟糕。这是Facebook的一个荒谬的超越,以及欺骗人们将他们的联系人数据上传到Facebook作为注册价格的愚蠢尝试。即使你同意将联系信息上传到Facebook,你应该从来没有必要输入你的电子邮件密码,“Cyphers在后续电子邮件中写道。

他写道:“任何公司都不应该向人们要求这样的证件,你不应该相信任何人。这违背了所有传统的安全智慧,基本体面和常识。”

特洛伊亨特,一个安全专家和黑客通知服务的运营商,我已经被告知,也是至关重要的。“这肯定是一种安全反模式,因为它涉及将一个平台(电子邮件提供商)的秘密与另一个平台(Facebook)共享,”他在一封电子邮件中写道。

“虽然Facebook肯定会采取预防措施来保护电子邮件帐户密码,但如果有一个简单的替代方案(即他们使用Gmail帐户采取的方法),并且确实让人们参与危险行为,就会觉得没必要,”他写道。

密码输入表格表示密码不是由Facebook存储的,但没有办法独立审核,并确认是这种情况。最近发现,该公司以纯文本形式存储了数亿用户的密码,违反了广泛的安全最佳实践。

Facebook发言人在一份声明中说:“这些密码不是由Facebook存储的。一小部分人可以选择在他们第一次注册Facebook时输入他们的电子邮件密码来验证他们的帐户。人们可以随时请选择通过发送到手机的代码或发送到其电子邮箱的链接来确认其帐户。“

该发言人补充说:“那就是说,我们知道密码验证选项不是解决这个问题的最佳方式,所以我们将停止提供它。”

标签:Facebook密码邮件

我的评论:

请  后发表评论。