Facebookが一部の新規ユーザーにメールアカウントのパスワードを尋ねているところを発見
Facebook の新規ユーザーの中には、サインアップ プロセスの一環として個人の電子メール アカウントにパスワードを渡すように求めるページが表示されて驚いた人もいます。
この問題は、有名な匿名のセキュリティ研究者である e-Sushi によって最初に注目され、デイリービースト。
おい@フェイスブック、検証やその他の用途のためにユーザーの個人メール アカウントの秘密のパスワードを要求するというのは、ある人による恐ろしい考えです。#infosec視点。その道を進むと、事実上、知ってはいけないパスワードを漁ることになります。pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi)2019年3月31日
「Facebook を引き続き使用するには、メールを確認する必要があります。 [電子メール アドレス] でサインアップしたので、[電子メール ホスト Web サイト] を通じて自動的にサインアップできます」とメッセージは要求します。
メッセージの下のフォームでは、ユーザーの「電子メール パスワード」の入力を求められました。
どうやら、電子メール パスワードの入力を求められた新しい Facebook ユーザーは、Yandex や GMX などの特定の電子メール プロバイダーに登録しようとしたものと思われます。ただし、Google の Gmail では、ユーザーにパスワードの入力を要求しない認証ツール OAuth が使用されているため、このオプションは表示されません。
さらに、新しいユーザーが電子メール アカウントのパスワードを Facebook に入力することを選択すると、ユーザーに許可を求めることなく、Facebook が「連絡先をインポート中」であることを示すポップアップが表示されます。
しかしFacebookは声明で、このプロンプトは少数のユーザーにしか見られなかったと述べた。彼らは、Facebook アカウントにサインアップする際に人々を追加の手順から解放することを目的としていると主張しました。また、同社は電子メールのパスワードを保存しておらず、今後はユーザーの電子メールのパスワードを尋ねることもないと述べた。
「これらのパスワードは Facebook によって保存されません。非常に少数の人々が、初めて Facebook にサインアップするときに、アカウントを確認するためにメール パスワードを入力するオプションを持っています。
「ユーザーはいつでも、携帯電話に送信されたコードまたは電子メールに送信されたリンクを使用してアカウントを確認することを選択できます。
「とはいえ、パスワード認証オプションが最善の方法ではないことは理解しているので、その提供を中止する予定です」とフェイスブックの広報担当者はデイリービーストに語った。同社はまた、このプロセスにはFacebookが人々の電子メール受信箱にアクセスすることは含まれていなかったと付け加えた。
この暴露は、すでにプライバシーとセキュリティに関する失言でイメージを傷つけているFacebookが、社内サーバーに約2億~6億件のユーザーパスワードを平文で保存し、検索可能な状態にしていたことが先月認められたタイミングで行われた。会社員は2万人にも上る。
