По всичко изглежда, че Facebook се превръща в истински еталон за коварни бъгове и странни и неприятни практики. Последните примери са съвсем свежи – изтекли данни за 600 милиона потребители, а преди няколко часа разбрахме, че потребителските данни на 540 милиона души са открити в сървърите на Amazon, съхранявани там в отворен текстов формат. А сега излезе нещо още по-неочаквано. Оказа се, че Facebook е искал от новите потребители за потвърждение на регистрацията си да въвеждат паролата от собствената си електронна поща.

Трудно е да се разбере, как може в главата на някои Facebook специалисти да се породи подобна идея. И как никой наоколо не е възразил? Днес подобно нещо няма как да мине. Преди време някои онлайн услуги използваха подобен подход и платиха скъпо. Така например, отдавна изхвърленият на боклука MySpace във времената на своя разцвет искаше от потребителите паролите на техните електронни пощи.

„За да продължите да използвате Facebook, трябва да потвърдите своята електронна поща“ – се казва в съответното съобщение. „Понеже сте се регистрирали от (адрес на електронна поща), можете да правите това автоматично“

се казва в съобщението, с което Facebook кара потребителя да въведе паролата си на своята електронна пощенска кутия.

„Това е извън пределите на доброто и злото“ – счита консултантът по IT безопасност Джейк Уйлямс. „Те изобщо не трябва да приемат вашата пароли и/или да я обработват във фонов режим. Ако това наистина е необходимо за регистриране във Facebook, то е по-добре въобще да не се регистрирате“.

Facebook направи официално съобщение по повод тези възмущения и заяви, че никъде не записва тези пароли. Социалната мрежа заяви, че напълно ще спре използването на този метод.

„Ние разбираме, че проверката на паролата за електронната поща не е най-добрият метод за проверка и възнамеряваме да прекратим тази практика.

Не се знае, доколко широко е била разпространена тази практика, но представителите на Facebook подчертаха, че тези потребители имат възможност да отклонят изискването за въвеждането на паролата и да да активират своя акаунт чрез по-обичани начини, като например чрез код, изпратен към телефонен номер или линк в имейл. Тези варианти наистина са достъпни, но след кликването върху Need help? върху долната лява част на програмния прозорец.

Анализът на ситуацията показ, че Facebook е искал паролата за електронната поща само при най-подозрителните потребители. Например, ако някой се опитва да се регистрира чрез Tor или VPN, или пък от нестандартна еднократна поща.

Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l

— e-sushi (@originalesushi) March 31, 2019

Това съвсем не е оправдание за подобна практика.

„Това си е фишинг на пароли за електронни пощи, които никой друг, освен техният собственик не трябва да знае“ – възмущава се в своята Twitter страница потребителят e-sushi, който първи обърна внимание на некоректните действия на Facebook.

Както обикновено, след вдигнатия шум Facebook обеща да прекрати тази практика.