Pár nappal azután, hogy kiderült, 200-600 millió jelszót tárolt titkosítás nélkül a Facebook, megint adódott egy eset, amely tovább borzolja a kedélyeket. A Daily Beast írta meg, hogy az oldalra regisztrált több új felhasználó előtt is megjelent egy ablak, melyben e-mail-címük megerősítésére kérték őket,

ám úgy, hogy az ahhoz tartozó jelszót is bekérte a Facebook.

A bejelentkezéshez megadott e-mailek megerősítése bevált funkció, több szolgáltatás is használja, a fiók jelszavát viszont egy esetben sem kell megadni – erre figyelmeztetett a lapnak nyilatkozó kiberbiztonsági szakértő is, Jake Williams, aki azt mondta: ha a Facebook a bejelentkezést ilyen feltételekhez köti, úgy a legjobb, ha az illető nem is regisztrál az oldalra.

Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you're practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l

— e-sushi (@originalesushi) 2019. március 31.

Williams szerint a jelszavak bekérése nem csak szokatlan, veszélyes gyakorlat is, hiszen az adathalász oldalak is ugyanígy működnek: egy megbízhatónak tűnő felületen privát adataik megadására kérik a felhasználót, majd aztán minden információt ellopnak tőlük. Bár a Facebook esetében ilyen nem történt, az elv akkor is aggasztó a szakértő szerint.

A cikk megjelenése után a Facebook közleményben reagált. Azt írták, bár a módszer valóban nem a legjobb módja a bejelentkezési adatok ellenőrzésének, hangsúlyozni szeretnék, hogy az e-mailekhez tartozó jelszavakat nem tárolták el. Közölték azt is, hogy a problémásnak vélt funkciót megszüntetik, habár ennek időpontja még nem ismert.

A Business Insider újságírója is találkozott a felülettel

Business Insider /

Azt nem tudni, pontosan hány ember találkozott az említett felülettel, de a témáról beszámoló lapok mindegyike találkozott vele, ami azt sejteti, hogy széles körben alkalmazott megoldásról volt szó. Ennek fényében pedig belegondolni sem merünk, hányan adhatták meg jelszavukat – még akkor is, ha a Facebook szerint semmi baj nem történhet.

Bár a közösségi oldal most nem adott ki figyelmeztetést, azért jobb, ha megváltoztatja e-mail-fiókja jelszavát. Pláne, ha ön is találkozott a fent említett ellenőrzővel. Itt talál egy pofonegyszerű módszert: nagyon erős jelszót csinálhat, amit sosem fog elfelejteni.

A kiberbiztonsági szakemberek emellett a kétlépcsős azonosítás bekapcsolását is javasolják. Akinél ez a funkció aktív, annak hiába szerzik meg mások a jelszavát, nem fognak tudni belépni vele a Facebook-fiókba. Hogy ezt miként lehet bekapcsolni, arról itt olvashat egy rövid, közérthető leírást.

Itt további 6 fontos dolgot talál: ezeket állítsa be Facebookon, ha jót akar magának.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.