交出你的密码 - iYouPort
交出你的密码
- 关于 Facebook 的脏事儿可能对您来说已经不足为奇了。但这件事的确需要关注,尤其是在 IYP 刚刚倡议的角色扮演活动之后。他们为什么想要你的邮箱密码
关于 Facebook 的脏事儿可能对您来说已经不足为奇了。但这件事的确需要关注,尤其是在 IYP 刚刚倡议的角色扮演活动之后。详见《 分裂人格的魅力 》
Facebook 要求一些新用户提供其电子邮件帐户的密码 — — 这是一个严重的安全问题。
通常,安全专家都是敦促人们不要共享他们的密码或将其输入到预期的服务之外的任何服务中,以避免用户的密码和个人信息被盗而导致的“网络钓鱼攻击”的风险。
但在 Facebook 上,当用户尝试注册某些电子邮件提供商(包括 Yandex 和 GMX)时,它会要求直接在 Facebook 中输入密码来“确认您的电子邮件地址”,正如之前由 The Daily Beast 报道 的那样。这个问题最初是由匿名 Twitter 用户 e-sushi 发现的。
其他电子邮件提供商(如 Google 的 Gmail)用户看不到该选项,因为它使用授权工具 OAuth — 一种安全验证身份的常用工具,无需您在此处输入密码。
Business Insider 还发现,如果新用户选择将他们的电子邮件帐户密码输入 Facebook,则弹出窗口显示 Facebook 正在“导入联系人” — — 尽管没有询问用户是否允许这样做。目前还不清楚这个工具是否实际导入了这些联系人,因为它显然没有提取媒体为测试目的而制作的联系人列表条目,尽管导入只需要几分钟的时间。
Facebook 发言人表示,该公司现已停止使用该功能,但该公司没有提供使用它的时间表。
贝尼特·塞普尔斯(Bennett Cyphers)是电子前沿基金会(Electronic Frontier Foundation)倡导组织的安全研究员,他对 Facebook 的行为提出了严厉的批评:“这基本上与网络钓鱼攻击没什么区别了,”他在电话中说,并指出安全专家通常敦促人们永远不要将密码提供给他们使用的网站以外的任何人。
“这种行为在很多层面上都很糟糕。欺骗人们上传关于他们的联系人的数据作为注册资格的疯狂尝试。即使你同意将联系人信息上传到 Facebook,你也不应该输入你的电子邮件密码“。
他写道:“任何公司都不应该向人们要求这样的信息,你不应该相信任何人。这违背了所有传统的安全基础、基本体面和常识。”
Have I Been Pwned 的运营商 Troy Hunt 说,“这肯定是一种反安全的模式,因为它涉及将一个平台(电子邮件提供商)的秘密与另一个平台(Facebook)共享”。
“虽然 Facebook 可能会采取预防措施来保护电子邮件帐户密码,但是当有一个简单的替代方案(即他们使用 Gmail 帐户采取的方法)时,这样做完全没有必要,并确实是在迫使人们参与冒险行为”。
密码输入表格表示密码不是由 Facebook 存储的,但没有办法独立审核因而无法确认。最近发现, 该公司 以纯文本形式存储了数亿用户的密码 ,违反了广泛的安全实践 。
一位 Facebook 发言人说:“这些密码不是由 Facebook 存储的。一小部分人可以选择在他们第一次注册 Facebook 时输入他们的电子邮件密码来验证他们的帐户。人们总是可以选择通过发送到手机的代码或发送到他们电子邮件的链接来确认他们的帐户。“
总之,不要使用 Facebook 创建您的假名角色身份,我们不知道还有多少奇怪的行为和内幕尚未被揭晓。
同时,研究公司 UpGuard 的 一份报告显示 ,已发现两组用户数据 已暴露给所有人 。第一套数据文件大小约为146GB,拥有 超过5.4亿用户的数据 ,包括评论、点赞、反应、帐户名、Facebook ID 等信息。第二套数据包含 Facebook 应用程序的数据备份,被称为 At The Pool,被发现在亚马逊的基于云的存储 Amazon S3 上。 它还以明文存储了大约 22,000 个用户的密码 。
文章版权归原作者所有。
