O Facebook foi visto a praticar o pior mecanismo de verificação de utilizadores e que pode colocar em risco a segurança dos mesmos — o acesso à sua caixa de email.
Geralmente, serviços on-line solicita que os utilizadores confirmem um código secreto ou uma URL exclusiva enviada para o endereço de e-mail fornecido durante o registo da conta de utilizador.
No entanto, o Facebook está a solicitar a alguns utilizadores recém-registados para fornecer as passwords para as suas contas de e-mail, que de acordo com especialistas em segurança é uma ideia terrível e que poderia ameaçar a privacidade e segurança dos utilizadores.
O primeiro alerta foi notado na conta de Twitter do utilizador @originalesushi,: o Facebook tem solicitado aos utilizadores que introduzam as suas passwords para serviços de e-mail de terceiros, para que a empresa possa “verificar” automaticamente seus endereços de e-mail.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
No entanto, o prompt aparece apenas para contas de email de determinados provedores de email que o Facebook considera suspeitos.
“Tested it myself registering 3 times with 3 different emails using 3 different IPs and 2 different browsers. 2 out of 3 times I faced that email password verification thing right after clicking “register account” on their front page sign up form,” e-Sushi said in a tweet.
“By going down that road, you’re practically fishing for passwords you are not supposed to know!”
É irónico que essa notícia tenha surgido duas semanas depois de o Facebook admitir que armazenou passwords de “centenas de milhões” de utilizadores de forma insegura em texto simples durante anos em registos internos da empresa, e acedidos por 2.000 funcionários do Facebook.
Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks. He is also Freelance Writer.
Read more here.