SIKKERHET

Facebook krevde passordet til epost fra nye brukere: – En horribel praksis

Facebooks toppsjef Mark Zuckerberg under en høring i den amerikanske Kongressen, våren 2018. Han ble da grillet om hvordan persondata ble misbrukt til å rette målrettede budskap mot amerikanere under presidentvalget i 2016.
Facebooks toppsjef Mark Zuckerberg under en høring i den amerikanske Kongressen, våren 2018. Han ble da grillet om hvordan persondata ble misbrukt til å rette målrettede budskap mot amerikanere under presidentvalget i 2016. Foto: AP / NTB scanpix
3. apr. 2019 - 13:13

Rekken av personvernbrudd synes endeløs for sosiale medier-kjempen, som atter en gang blir kritisert for tvilsom praksis.

I helgen ble det kjent at Facebook i registreringsprosessen for nye brukere krevde at brukere avslørte sine hemmelige passord til ekstern epost.

Twitter-profilen e-sushi oppdaget det ekstra trinnet i prosessen med å registrere nye brukere, som får omtale i en rekke medier verden over.

Det er kun de med eposttjeneste uten støtte for autentiseringsprotokollen OAuth som skal ha blitt bedt om å røpe passordene sine direkte til Facebook.

– Dette er hinsides. De bør ikke ta imot passordet ditt. Hvis det er hva som kreves for å registrere deg hos Facebook, er det bedre å ikke være der, sier en sikkerhetsrådgiver til Daily Beast.

Lover å slutte

Facebook hevder overfor nettstedet at de ikke har lagret disse passordene. De vedgår samtidig at passord-kravet nok ikke var særlig smart, og at de derfor skal slutte med det, uten at det fremgår når dette blir endret.

– Vi forstår at opsjonen for passord-bekreftelse ikke er den beste måten å gjøre dette på, så vi skal slutte å tilby dette, lyder selskapets svar.

Selskapet hevder overfor The Telegraph at anmodningen om å utlevere epostpassord ble gjort for å unngå et ekstra trinn i bekreftelsesprosessen ved nyregistreringer. De hevder også at bare et mindre antall personer er berørt.

I likhet med blant annet pinkoder til bankkort og mobil er det et opplagt råd at passord til epost aldri bør deles med tredjepart, langt mindre et selskap som for mindre enn to uker siden innrømmet å ha lagret flere hundre millioner brukerpassord i klartekst.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.