O Facebook foi visto a praticar o pior mecanismo de verificação de utilizadores e que pode colocar em risco a segurança dos mesmos — o acesso à sua caixa de email.
Geralmente, serviços on-line solicita que os utilizadores confirmem um código secreto ou uma URL exclusiva enviada para o endereço de e-mail fornecido durante o registo da conta de utilizador.
No entanto, o Facebook está a solicitar a alguns utilizadores recém-registados para fornecer as passwords para as suas contas de e-mail, que de acordo com especialistas em segurança é uma ideia terrível e que poderia ameaçar a privacidade e segurança dos utilizadores.
O primeiro alerta foi notado na conta de Twitter do utilizador @originalesushi,: o Facebook tem solicitado aos utilizadores que introduzam as suas passwords para serviços de e-mail de terceiros, para que a empresa possa “verificar” automaticamente seus endereços de e-mail.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
No entanto, o prompt aparece apenas para contas de email de determinados provedores de email que o Facebook considera suspeitos.
“Tested it myself registering 3 times with 3 different emails using 3 different IPs and 2 different browsers. 2 out of 3 times I faced that email password verification thing right after clicking “register account” on their front page sign up form,” e-Sushi said in a tweet.
“By going down that road, you’re practically fishing for passwords you are not supposed to know!”
É irónico que essa notícia tenha surgido duas semanas depois de o Facebook admitir que armazenou passwords de “centenas de milhões” de utilizadores de forma insegura em texto simples durante anos em registos internos da empresa, e acedidos por 2.000 funcionários do Facebook.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.