Socialinis tinklas „Facebook“ kai kurių savo vartotojų prašo ne tik prisijungimo prie tinklo slaptažodžio, bet ir prisijungimo prie el. pašto paskyros slaptažodžio. Saugumo ekspertai tokį žingsnį vertina kaip žalingą kibernetinio saugumo požiūriu ir kad tai gali pastūmėti žmones internete elgtis „rizikingai“, rašo „Business Insider“.
Paprastai kibernetinio saugumo ekspertai visuomenę ragina niekada nesidalinti savo elektroniniais slaptažodžiais ir niekada nesuvedinėti jų į jokias paslaugas, išskyrus tas, prie kurių tuo metu nori prisijungti – tai yra būdas apsisaugoti nuo vadinamųjų „phishingo“ atakų, kuomet apgavystės būdu iš interneto naudotojų išviliojami jų slaptažodžiai ir kita jautri informacija.
Tačiau „Facebook“ tinkle bandant registruoti paskyrą pagal el. pašto adresą, išduotą tam tikrų tarnybų (pvz., „Yandex“ ar GMX), papildomai prašoma „patvirtinti elektroninio pašto adreso tikrumą“ įvedant tos pašto paskyros slaptažodį tiesiais į „Facebook“ pateiktą formą.
Kitų el. pašto paslaugų – tokių, kaip „Gmail“ – tokio prašymo nematys, nes „Google“ naudoja populiarų autorizavimo įrankį „OAuth“, leidžiantį saugiai patikrinti pašto adreso tikrumą be būtinybės papildomai įvedinėti slaptažodžius, kaip kad šiuo atveju bando daryti „Facebook“.
Taip pat išaiškėjo, į pateiktą laukelį suvedus tikrą el. pašto paskyros slaptažodį, vartotojas gali trumpai pamatyti iššokantį langelį, kuriame nurodoma, kad „Facebook“ „importuoja kontaktinius duomenis“, nors iki tol vartotojui nebuvo pateikiami jokie prašymai suteikti prieigą prie kontaktinių duomenų. Tiesa, sunku pasakyti, ar kontaktinių duomenų importavims iš tiesų vykdomas, nes patikrinus bandymo tikslais į pašto paskyrą draugų sąrašus jų nepavyko rasti tarp „Facebook“ draugų. Bet, kita vertus, taip gali būti dėl to, kad tie kontaktai buvo sukurti prieš kelias minutes.
Žurnalistams susisiekus su „Facebook“ atstovu spaudai šis suskubo informuoti, kad jo bendrovė tokios funkcijos nebenaudos. Straipsnio publikavimo metu tokio autorizavimo būdo jau nebepavyko atrasti.
Kibernetinių teisių apsaugos grupės „Electronic Frontier Foundation“ saugumo analitikas Bennettas Cyphersas tokią „Facebook“ praktiką labai aršiai sukritikavo. „Iš esmės tai niekuo nesiskiria nuo phishingo atakos“, – sakė ekspertas, nurodęs, kad paprastai žmonės būna raginami neįrašinėti savo slaptažodžių niekur, išskyrus svetainę, kurioje tą slaptažodį ir susikūrė.
„Tai yra labai blogai daugeliu atžvilgiu. Tai yra absurdiškas ribų peržengimas iš „Facebook“ pusės ir niekšiškas bandymas apgauti žmones, kad šie, mainais už vartotojų registravimą, įkeltų savo elektroninio pašto kontaktų duomenis į socialinį tinklą. Net jeigu galėtumėte sutikti įkelti kontaktinius duomenis į feisbuką, niekada to daryti įrašydami į feisbuką dar ir savo pašto slaptažodį. Jokia kompanija tokiu būdu neturėtų prašyti prisijungimo duomenų ir neturėtumėte pasitikėti jokia kompanija, kuri taip daro. Tai prieštarauja tipinei kibernetinio saugumo išminčiai, paprasčiausiam padorumui ir sveikam protui“, – rašė analitikas.
Saugumo ekspertas ir internetinės paslaugos „Have I Been Pwned“, kuri leidžia pasitikrinti, ar jūsų slaptažodis nebuvo pavogtas, valdytojas Troy'us Huntas taip pat negailėjo kritikos.
„Tai be jokios abejonės prieštarauja kibernetinio saugumo principams, nes šiuo atveju vienos platformos (el. pašto paskyros) prisijungimo duomenimis raginama pasidalinti su kita platforma („Facebook“). Nors neabejoju, kad feisbukas imtųsi priemonių apsaugoti šiuos paskyrų slaptažodžius, panašu, kad tokia procedūra yra tiesiog nereikalinga, nes esama paprastų alternatyvų (pavyzdžiui, toks patikrinimas, koks vykdomas su „Gmail“ pašto adresais) ir ji gali pratinti žmones prie rizikingo elgesio internete“, – rašė T. Huntas.
Slaptažodžio įvedimo formoje nurodoma, kad „Facebook“ slaptažodžių net nesaugo, tačiau be nepriklausomo audito šio teiginio patvirtinti arba paneigti neįmanoma. Neseniai buvo nustatyta, kad ši įmonė šimtų milijonų vartotojų slaptažodžius saugo nešifruoto teksto pavidalu, tokiu būdu taip pat nusižengia geriausiems kibernetinio saugumo principams.
Oficialiame pareiškime „Facebook“ atstovas spaudai sakė: „Šių slaptažodžių „Facebook“ nesaugo. Galimybę įvesti savo elektroninio pašto slaptažodį pirmą kartą registruojant „Facebook“ paskyrą turi tik labai nedidelė dalis vartotojų. Žmonės visada gali pasirinkti patvirtinti savo paskyros tikrumą per kodą, kuris siunčiamas į jų telefoną ar per nuorodą, kuri siunčiama nurodytu elektroninio pašto adresu. Bet suprantame, kad tokia pašto adreso tikrumo patikrinimo priemonė nėra pati geriausia, todėl jos nebesiūlysime“.