Parece que toda vez que a rede social promete corrigir uma falha de segurança, outra surge. De acordo com relatos de e-sushi no Twitter, verificados pelo Daily Beast, o Facebook está pedindo para novos inscritos na rede colocarem a senha de seu e-mail pessoal para verificar a conta, uma clara violação das normas de segurança virtual.
“Para continuar usando o Facebook, você precisará confirmar seu endereço de e-mail”, diz o aviso. “Porque você se inscreveu com [e-mail], você pode fazer isso automaticamente pelo [provedor de e-mail].”
e-sushi encontrou a solicitação de verificação suspeita em duas das três tentativas de replicação. Elas foram feitas com três e-mails diferentes, três IPs separados e dois navegadores distintos.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31 de março de 2019
Os usuários que enfrentam a barreira para se inscrever podem optar por não colocar a senha e verificar a conta de outra forma, como por meio de um código enviado para seu e-mail ou celular. Essa informação, entretanto, está escondida: ela fica no menu “Precisa de ajuda?”.
Em resposta às acusações, o porta-voz do Facebook diz entender que a opção de verificação de senha não é a melhor maneira de confirmar a conta e afirma que a rede não oferecerá mais essa função. É difícil acreditar nisso, depois de tantos escândalos que envolveram a rede social e foram seguidos pela mesma vaga promessa.
No fim do mês passado, por exemplo, a empresa foi criticada por armazenar senhas dos usuários sem criptografia que poderiam ser acessadas facilmente internamente. Vale lembrar, então, que, em nenhum momento, deve-se fornecer a senha de e-mail a terceiros, principalmente porque, a partir dela, pode-se ter acesso a outras redes.
Via: ZDNet