Facebook yêu cầu người dùng cung cấp mật khẩu email khi đăng ký mới

Facebook đã yêu cầu một số người dùng mới cung cấp mật khẩu truy cập vào tài khoản email của họ. Cụ thể, khi người dùng cố gắng đăng ký tài khoản Facebook với một số nhà cung cấp email nhất định, bao gồm Yandex và GMX, họ được yêu cầu "xác nhận địa chỉ email" bằng cách nhập trực tiếp mật khẩu vào Facebook.

Động thái này được các chuyên gia công nghệ cho rằng có liên quan đến bảo mật và mang tới cho người dùng những rủi ro khi tham gia vào các hoạt động trực tuyến. Thông thường, mọi người đều được khuyên không bao giờ chia sẻ mật khẩu của mình hoặc nhập chúng vào bất kỳ nơi nào ngoài dịch vụ mà họ dự định sử dụng. Điều này nhằm tránh nguy cơ "tấn công bằng cách lừa đảo", khiến cho thông tin cá nhân của người dùng bị đánh cắp.

Nhưng trên Facebook, khi người dùng cố gắng đăng ký với một số nhà cung cấp email nhất định, bao gồm Yandex và GMX, họ yêu cầu "xác nhận địa chỉ email của bạn" bằng cách nhập trực tiếp mật khẩu của họ vào Facebook, như The Daily Beast đã báo cáo trước đó.

Người dùng của các nhà cung cấp email khác như Gmail của Google không thấy tùy chọn này bởi hệ thống đã sử dụng OAuth, một công cụ ủy quyền phổ biến để xác minh an toàn danh tính mà không yêu cầu nhập mật khẩu.

Ngoài ra, nếu một người dùng mới chọn nhập mật khẩu tài khoản email của họ vào Facebook, một cửa sổ bật lên thông báo Facebook đang "nhập danh bạ". Việc này được thực hiện dù không nhận được sự cho phép của người dùng. Vẫn chưa rõ liệu công cụ này có thực sự nhập các liên hệ này hay không.

Một phát ngôn viên của Facebook cho biết công ty đang ngừng tính năng này, nhưng không cung cấp khung thời gian cụ thể.

'Về cơ bản không thể phân biệt được với một cuộc tấn công lừa đảo'

Bennett Cyphers, một nhà nghiên cứu bảo mật của Electronic Frontier Foundation, đã chỉ trích gay gắt hành động của Facebook. "Điều này về cơ bản không thể phân biệt được với một cuộc tấn công lừa đảo", ông nói trong một cuộc gọi, chỉ ra rằng mọi người thường được khuyến khích không bao giờ cung cấp mật khẩu của họ cho bất kỳ ai khác ngoài trang web mà họ đã tạo.

"Điều này rất tệ ở nhiều cấp độ. Đó là một sự vô lý của Facebook và một nỗ lực nhếch nhác để lừa mọi người tải dữ liệu về danh bạ của họ lên Facebook như một cái giá của việc đăng ký. Ngay cả khi bạn đồng ý tải thông tin liên hệ lên Facebook, bạn không bao giờ phải nhập mật khẩu email của bạn để làm điều đó ", Cyphers viết trong email tiếp theo.

"Không có công ty nào nên yêu cầu mọi người cung cấp thông tin như thế này và người dùng không nên tin bất cứ ai làm điều đó. Điều này đi ngược lại với tất cả quy tắc bảo mật thông thường", ông viết trong một email.

Troy Hunt, một chuyên gia bảo mật cho rằng: "Đây chắc chắn là một mô hình chống bảo mật trong chừng mực vì nó liên quan đến việc chia sẻ bí mật của một nền tảng (nhà cung cấp email) với một nền tảng khác (Facebook)".

Biểu mẫu nhập mật khẩu nói mật khẩu không được Facebook lưu trữ, nhưng không có biện pháp để kiểm tra độc lập tính năng này. Gần đây, công ty cũng dính vào scandal khi bị phát hiện đã lưu trữ hàng trăm triệu mật khẩu của người dùng bằng văn bản một cách đơn giản. Hành vi này vi phạm các nguyên tắc cơ bản nhất về bảo mật vốn được phổ biến rộng rãi từ lâu.

Trong một tuyên bố, một phát ngôn viên của Facebook cho biết: "Những mật khẩu này không được Facebook lưu trữ. Một nhóm rất nhỏ có tùy chọn nhập mật khẩu email để xác minh tài khoản của họ khi họ đăng ký Facebook lần đầu tiên. Mọi người luôn có thể thay vào đó, chọn xác nhận tài khoản của họ bằng mã được gửi đến điện thoại của họ hoặc liên kết được gửi đến email của họ. "

Người phát ngôn nói thêm: "Điều đó nói rằng, chúng tôi hiểu tùy chọn xác minh mật khẩu không phải là cách tốt nhất để giải quyết vấn đề này, vì vậy chúng tôi sẽ ngừng cung cấp nó.".