Разделы

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы

Facebook требует от пользователей с почтой «Яндекса» поделиться паролем и списком контактов

Соцсеть Facebook уличили в том, что при регистрации новых пользователей она запрашивает пароль к электронной почте и считывает список их контактов, если используемый почтовый сервис вызывает у системы некие подозрения. В списке «подозрительных» оказался и популярный российский сервис «Яндекс.почта».

Facebook вновь удивляет

Социальная сеть Facebook при создании новых учетных записей в некоторых случаях запрашивает пароль пользователя к электронной почте якобы в качестве меры по подтверждению регистрации. Об этом сообщил портал Business Insider. Такие действия ставят под угрозу безопасность пользователей и граничат с фишинговой атакой, считают эксперты в сфере информационной безопасности.

По всей видимости, необходимость подтверждать регистрацию подобным образом возникает лишь при использовании некоторых почтовых сервисов, которые соцсеть считает «подозрительными».

Журналисты издания провели небольшой эксперимент, в ходе которого создали несколько новых учетных записей, привязав к ним почтовые адреса различных почтовых сервисов. Использование почты «Яндекса» и популярного в Европе почтового сервиса GMX Mail потребовало подтверждения при помощи ввода пароля, в то время как регистрация с адресом Gmail почтового сервиса Google прошла гладко и без подозрительных запросов со стороны Facebook.

Facebook запрашивает пароль к электронной почте пользователя, относящейся к «Яндексу»

Кроме того, как отмечает Business Insider, если пользователь все-таки соглашается предоставить пароль к своему почтовому ящику, социальная сеть без явного разрешения со стороны владельца пытается импортировать контакты из адресной книги почтового сервиса, о чем свидетельствует появление небольшого окна с заголовком «Импортируются контакты» (Importing Contacts) и постепенно заполняющимся индикатором выполнения операции.

importingcontacts.jpg
Facebook пытается импортировать контакты

Стоит отметить, что первым на проблему обратил внимание пользователь Twitter под псевдонимом e-Sushi, зарегистрировавший три аккаунта, используя электронные адреса, принадлежащие различным почтовым провайдерам, с отличающихся друг от друга IP-адресов и в разных браузерах. В двух случаях из трех система предложила микроблогеру ввести свой пароль к электронной почте для завершения регистрации.

Реакция представителей соцсети

Представители Facebook в переписке с Business Insider подтвердили факт существования описанного способа верификации новых пользователей. Они подчеркнули, что компания не хранит запрошенные пароли и намерена отказаться от подобной практики, правда, не уточнив, в какие сроки.

«Очень небольшой группе людей предлагается ввести пароль к электронной почте при регистрации в Facebook, – цитирует Business Insider заявление представителя социальной сети. – Они всегда могут выбрать иной способ подтверждения регистрации, например, с помощью кода, отправленного на мобильный телефон или ссылки, высланной на электронную почту».

Альтернативные способы верификации, описанные представителем Facebook, широко распространены и считаются достаточно безопасными. Однако способ получения доступа к ним в Facebook может показаться несколько контринтуитивным: для того, чтобы выбрать другой метод верификации, сперва необходимо кликнуть по ссылке «Нужна помощь?» (Need help?), расположенной в левом нижнем углу формы запроса пароля к электронной почте.

Комментарии экспертов

Специалисты в области кибербезопасности, опрошенные Business Insider, единодушно осудили описанную выше практику.

Так, Беннет Сайферс (Bennett Cyphers), исследователь в сфере ИБ из группы Electronic Frontier Foundation назвал ее «неотличимой от фишинговой атаки». Фишинг, напомним, – это способ интернет-мошенничества. Фишинг-атаки проводятся через электронную почту и другие средства доставки сообщений с целью обманным путем выявить у получателя личную информацию.

«Это хитрая попытка обмануть людей, чтобы они загружали данные о своих контактах в Facebook в качестве платы за регистрацию», – отметил Сайферс.

По мнению Троя Ханта (Troy Hunt), эксперта сервиса Have I Been Pwned, данный способ подтверждения регистрации является примером худших практик в сфере ИБ, поскольку он предполагает обмен «секретными» данными между двумя назависимыми платформами, в данном случае – между сервисом электронной почты и Facebook.

Реакция экспертов вполне объяснима, ведь, как правило, веб-сервисы сами призывают пользователей никому и никогда не сообщать свои пароли, даже сотрудникам этих сервисов, не говоря уже о сторонних ресурсах. Политика же Facebook, как подметил Беннет Сайферс, «идет вразрез со всеми общепринятыми представлениями о безопасности, элементарной порядочности и здравом смысле».

Инциденты с участием Facebook

Заверения со стороны Facebook в том, что пароли пользователей не сохраняются на серверах компании, журналисты Business Insider восприняли с изрядной долей скепсиса, поскольку данное утверждение едва ли поддается проверке, а репутация соцсети за последние годы существенно пострадала из-за ряда ошибок, совершенных ее руководством.

К примеру, в марте 2019 г. выяснилось, что десятки тысяч сотрудников компании могли иметь доступ к чужим страницам в Facebook и Instagram, поскольку пароли сотен миллионов пользователей хранились на серверах компании в незашифрованном виде. Причем наличие проблемы социальная сеть официально признала лишь после того, как сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете.

В марте 2019 г. утечка внутренних документов выявила, что Facebook шантажировала влиятельных политиков по всему миру с целью добиться в отдельных странах послабления законодательства в сфере защиты приватности пользователей.

В сентябре 2018 г. Facebook признала утечку данных более 50 млн владельцев учетных записей. Причиной взлома стала серьезная уязвимость в коде Facebook. Она была устранена в кратчайшие сроки, а о случившемся были уведомлены правоохранительные органы.

В ноябре 2018 г. стало известно о том, что соцсеть не смогла дать отпор киберпреступникам, в результате чего в руках хакеров оказались личные сведения о более чем 120 млн пользователей сети. Данные были выставлены на продажу по цене в 10 центов за один профиль.

Facebook и сама допускает утечки данных: в период с 2007 по 2014 гг. социальная сеть передавала британской аналитической компании Cambridge Analytica сведения о своих пользователях, в результате чего пострадали 87 млн человек.

Дмитрий Степанов