/https://www.webnews.it/app/uploads/2019/03/facebook-3.jpg "Facebook chiede la password segreta della email")
Facebook sta chiedendo ai nuovi iscritti la password della propria email, un comportamento molto rischioso secondo gli esperti di sicurezza. Si tratta probabilmente del peggior meccanismo di verifica con cui l’utente può procedere, in questo modo mette infatti la sua sicurezza a rischio. Di solito queste piattaforme chiedono la conferma di un codice segreto o di cliccare su un URL unico inviato via email, per confermare la registrazione.
La base della sicurezza online infatti dice di non condividere mai la password di un servizio con altre piattaforme, per evitare il rischio di attacchi di phishing. Ma a quanto pare su Facebook in fase di registrazione, viene richiesto di “confermare l’indirizzo email”, fornendo la password dell’account direttamente all’interno della piattaforma.
Il primo a notare questa anomalia è stato l’account Twitter e-Sushi, cioè la richiesta di Facebook di conoscere le password dei servizi di email di terze parti per “verificare automaticamente” l’indirizzo email. Inoltre Business Insider ha riportato che se l’utente decide di inserire la password appare un pop-up che recita “Facebook sta importando i contatti”, anche se lo stesso social non chiede il consenso all’utente per procedere con questa operazione.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Non è chiaro se questo tool importi i contatti. Chiaramente Facebook sta eliminando la richiesta delle password, ma solo dopo che è emerso il problema, anche se non ha fornito tempistiche certe. Inoltre ha dichiarato che queste password non vengono memorizzate dal sistema e che il numero di utenti a cui è stata richiesta la password è ristretto. La richiesta è avvenuta, secondo l’azienda, a coloro che usavano indirizzi email che non supportavano lo standard OAuth, usato dai principali provider di posta elettronica.
Grandi critiche arrivano però da Bennett Cyphers, esperto di sicurezza in Electronic Frontier Foundation, secondo il quale questo processo di registrazione è indistinguibile da un attacco di phishing. Recentemente lo stesso Mark Zuckerberg ha ammesso che Facebook non ha una grande reputazione in termini di privacy e in effetti i recenti problemi per centinaia di milioni di utenti è una delle tante prove a sfavore del social network. Più che la reputazione, la piattaforma dovrebbe evitare più che altro condotte del genere, come ad esempio chiedere la password segreta di servizi di terze parti.
/https://www.webnews.it/app/uploads/2024/04/48-2-9.jpg)
/https://www.webnews.it/app/uploads/2024/04/48-83.jpg)
/https://www.webnews.it/app/uploads/2024/04/48-1-12.jpg)
/https://www.webnews.it/app/uploads/2024/04/bosch-professional.jpg)