Facebook вимагає паролів електронної пошти для перевірки нових облікових записів

Facebook вимагає паролів електронної пошти для перевірки нових облікових записів

Ви могли б подумати, що після всіх своїх недавніх помилок у конфіденційності, Facebook буде проявляти трохи більше обережності, коли він реалізує нові функції. На жаль, це Фейсбук, так що це все ще незрозуміло від однієї кризи до іншої. Його найсвіжіша непродумана схема передбачає прохання користувачів передавати свої паролі електронної пошти. Це в основному не відрізняється від фішингової атаки.

Надсилання електронної пошти відбувається, коли нові користувачі реєструються на Facebook таким чином, що виглядає "підозріло" на сайті. Daily Beast досліджував цей сценарій, підписавшись з VPN, що пройшов через Румунію, виявивши, що Facebook дійсно просить користувачів вводити свій пароль електронної пошти для перевірки свого облікового запису.

Протягом багатьох років у всіх користувачів Інтернету було пробурено, що ви ніколи не надавали свої паролі третій стороні таким чином - навіть не до довіреного сайту. Давайте ігноруємо на мить, що Facebook мало що зробив, щоб заслужити довіру. Навіть змусити людей подумати, що це звичайна практика, встановлює їх, щоб отримати удар по фішинговим атакам. Ваш обліковий запис електронної пошти також є особливо чутливим порталом у вашому онлайновому житті з банківськими реквізитами, особистим спілкуванням та можливістю скинути паролі на інші облікові записи в Інтернеті.

За даними Facebook, ця «функція» є, щоб допомогти користувачам з підозрілим входом підтвердити свої рахунки. Він відображається лише для облікових записів, пов’язаних з електронними листами без OAuth, відкритого стандарту, який надає доступ без паролів. Незважаючи на те, що Gmail нещодавно встановив обмеження на доступ до облікового запису третіх сторін, незрозуміло, чи зможе Facebook отримати платформу Google від того, що потрібно, за допомогою простого пінгу OAuth

Гей @facebook, що вимагає секретного пароля особистих облікових записів електронної пошти ваших користувачів для перевірки, або будь-якого іншого використання, є ідеєю HORRIBLE з точки зору #infosec. Переходячи по цій дорозі, ви практично ловите паролі, які ви не повинні знати! pic.twitter.com/XL2JFk122l

- e-sushi (@originalesushi) 31 березня 2019 року

Facebook також каже, що існують інші варіанти перевірки цих рахунків. Однак ці опції приховані за посиланням "Потрібна допомога?", Що є кон'юнктурним місцем для додаткових методів перевірки. З якихось причин, Facebook наполягає на найбільш тісному способі підтвердження цих рахунків. Один ключ з'являється в наступному діалоговому вікні після надання пароля. На сайті з'являється повідомлення про те, що він "імпортує контакти" з облікового запису електронної пошти без запиту дозволу. Незрозуміло, чи справді ці контактні дані відображаються в Facebook, але їх можна покласти на рекламні сервери Facebook для всього, що ми знаємо.

Facebook каже, що логін електронної пошти нешкідливий. Але ви дійсно довіряєте Facebook обробляти ваші паролі з обережністю і розсудливістю? Це компанія, яка нещодавно визнала, що вона зберігала паролі у вигляді звичайного тексту протягом багатьох років, перш ніж хтось зрозумів, що це може бути поганою ідеєю. У свою чергу, Facebook підтвердив, що він перестане запитувати паролі електронної пошти таким чином.

Читати далі

Terraria Dev скасовує версію Stadia після виходу з облікового запису Google
Terraria Dev скасовує версію Stadia після виходу з облікового запису Google

Співзасновник Re-Logic Ендрю Спінкс каже, що Google заборонив його обліковий запис, заблокувавши його у вмісті на тисячі доларів. Його відповідь - скасувати Terraria для Stadia.

Як встановити додому Windows 11 з локальним обліковим записом
Як встановити додому Windows 11 з локальним обліковим записом

Це все ще можна встановити Windows 11 з локальним обліковим записом, якщо ви готові стрибати через кілька обручів, щоб зробити це.

Google каже, що використовує двофакторну автентифікацію, зменшуючи обліковий запис на 50 відсотків
Google каже, що використовує двофакторну автентифікацію, зменшуючи обліковий запис на 50 відсотків

Google розмістив оновлення за своїми заходами безпеки у визнанні Безпечного в Інтернеті (8 лютого), зазначивши, що рахунки Hacks знизилися на 50 відсотків у групі Google зареєстровано до двоетапної перевірки.