Facebook meteu o louco e pediu senha de e-mail para alguns novos usuários
O Facebook vinha pedindo para que alguns novos usuários informassem a senha do e-mail utilizado para o cadastro na rede social. A prática, altamente condenável, era aplicada quando o site considerava a tentativa de criação de conta “suspeita”.
Há alguns dias, o usuário @originalesushi publicou uma imagem no Twitter em que é exibida a tela em que o Facebook pede para que o usuário coloque a senha de seu e-mail para que a rede social “confirme automaticamente” a conta. O jornal Daily Beast confirmou o caso tentando criar uma conta utilizando um e-mail descartável e um VPN na Romênia.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) 31 de março de 2019
Para dar mais contexto à gravidade dessa medida do Facebook é preciso lembrar que o e-mail é uma das peças chave na internet: praticamente todas as suas contas estão ligados a ele.
Desde cadastros em bases do governo, redes sociais, faculdade e até contas bancárias estão centralizadas no e-mail, além de mensagens importantes – fora que, é por lá que você recupera senhas. Não é à toa é golpes de phishing miram na sua conta de e-mail.
Para completar, o Facebook admitiu recentemente que passou anos armazenando milhões de senhas de seus usuários sem nenhum tipo de proteção – tudo fica guardado em texto puro mesmo. Embora a companhia afirme que “essas senhas não ficam armazenadas no Facebook” e que “foram pouquíssimos usuários” que passaram pela tela, a credibilidade da rede social está em baixa.
A companhia já utilizou números de telefone da autenticação em dois fatores para enviar SPAM e direcionar anúncios, além de não ter sido transparente a respeito da coleta de dados em app que, em tese, deveria proteger o usuário.
Os usuários que se depararam com a tela estavam tentando fazer um cadastro via desktop utilizando endereços de e-mail que não suportavam o OAuth – um padrão aberto que permite a terceiros acesso autenticado a ativos (como de verificação de identidades) sem compartilhar credenciais de login. É um recurso presente nos principais provedores de e-mail, mas que não justifica a pedida do Facebook.
Os usuários afetados poderiam se esquivar da opção e autenticar a conta via telefone ou por um link enviado por e-mail, mas o caminho não era óbvio. Era preciso clicar no botão “Precisa de ajuda?” para encontrar as alternativas.
O Facebook admitiu que o método utilizado não era dos mais éticos e afirmou que não irá mais usar essa estratégia para confirmar novas contas. Um porta-voz da companhia disse ao Gizmodo US que a solicitação por credenciais de logins “funcionava há anos” e que a intenção era “simplesmente confirmar a conta”.