Facebookov glavni varnostni uradnik, Alex Stamos, je sporočil, da je napaka pri njegovi dvofaktorski avtentikaciji, ki je pomenila, da so nekaterim uporabnikom pošiljali obvestila prek besedilnega sporočila, napaka.
V objavi na blogu je dejal: »Zadnje, kar želimo, je, da se ljudje izogibajo koristnim varnostnim funkcijam, ker se bojijo, da bodo prejemali nepovezana obvestila. Na te telefonske številke ni bil naš namen pošiljati obvestil SMS, ki niso povezana z varnostjo, in opravičujem se za morebitne nevšečnosti, ki bi jih ta sporočila lahko povzročila."
Nekateri uporabniki, ki so doživeli napako, so tudi odkrili, da so bila njihova sporočila objavljena na njihovih stenah na Facebooku, ko so poslali odgovore na obvestila s prošnjo, naj prenehajo. Stamos pravi, da v teh primerih vedenje družbenega omrežja ni bila napaka, temveč funkcionalnost, ki se je uporabniki preprosto niso zavedali.
»Leta, pred vseprisotnostjo pametnih telefonov, smo podpirali objavljanje na Facebooku prek besedilnih sporočil, vendar je ta funkcija danes manj uporabna. Zato si prizadevamo, da bi to funkcionalnost kmalu opustili."
Ta izgovor mi še vedno zveni nekoliko nesramno, saj Facebookove strani za podporo pravijo, da morate nastaviti Facebook besedila, da boste izkoristili to funkcionalnost. Kot smo omenili v izvirni zgodbi spodaj, je Gabriel Lewis, programer, ki je poudaril napake, izrecno rekel, da se nikoli ni prijavil na pošiljanje besedilnih sporočil.
Ob tem je telefonska številka, s katere je Lewis prejel obvestila (32665), ista številka, ki jo Facebook uporablja za funkcije besedilnih sporočil, tako da kdo ve. Morala zgodbe je, da če ne želite, da se nekaj prikaže na vašem zidu, tega ne delite s Facebookom po naključju.
Izvirna zgodba se nadaljuje spodaj:
Facebook je pod drobnogledom zaradi dveh pomembnih pomanjkljivosti pri ravnanju z dvofaktorsko avtentikacijo.
Dvofaktorska avtentikacija ali 2FA se uporablja za dodajanje dodatne ravni varnosti spletnim računom. Ko se prijavite z uporabniškim imenom in geslom, se ustvari druga, edinstvena koda, pogosto poslana s SMS-om, da prepreči drugim dostop do računa.
Kot poroča The Verge, je ameriški programski inženir Gabriel Lewis v začetku tega tedna opazil, da Facebook pošilja besedilna obvestila na telefonsko številko, ki jo je registriral samo za prejemanje teh prijavnih kod. Pomembno je, da se nikoli ni odločil za omogočanje obvestil o besedilnih sporočilih.
PREBERITE NAPREJ: Kako omogočiti dvofaktorsko preverjanje pristnosti na Facebooku
Druga pomanjkljivost, za katero se zdi, da je hrošč, je ta, da so bili njegovi odgovori objavljeni na njegovem zidu na Facebooku, da bi jih lahko videli vsi njegovi prijatelji, ko je Lewis odgovoril na besedila, v katerih je Facebook prosil, naj jih preneha pošiljati. Da bi bila poškodba še žalitev, so se obvestila nato nadaljevala.
Prva napaka je v mnogih pogledih bolj zaskrbljujoča, saj navidez pomeni, da Facebook uporablja telefonske številke uporabnikov za marketinške namene brez izrecnega dovoljenja. Kot poudarja The Verge, to daje razlog za sodni postopek v ZDA, kjer zakon o varstvu potrošnikov telefonskih storitev podjetjem prepoveduje, da bi na ta način stopila v stik z vami brez privolitve.
To ne pomeni, da tudi posledice druge pomanjkljivosti niso pomembne. Uporabniku Twitterja Davidu Comdicu je s tem, da je jezno odgovarjal na obvestila, kar očitno daleč od idealnega, uspelo vso družino povedati, naj gre nehote v pekel.
Na tej stopnji se zdi, da so pomanjkljivosti specifične za regijo. Zdi se, da ne vpliva na nikogar v Združenem kraljestvu. Še več, ko poskušam odgovoriti na SMS s prijavno kodo, besedilnih sporočil preprosto ne uspe poslati, zato se na mojem Facebook zidu nič ne prikaže.
PREBERITE NAPREJ: Pojasnjeno dvofaktorsko preverjanje pristnosti
Ugledna turška pisateljica Zeynep Tufekci, ki je bila odkrita v svojih kritikah pomanjkljivosti, je vprašala, ali je bil kdo v EU prizadet, v času pisanja pa nihče ni odgovoril, da je.
Facebook nam je dal enako izjavo kot The Verge: »Ljudem dajemo nadzor nad njihovimi obvestili, vključno s tistimi, ki se nanašajo na varnostne funkcije, kot je dvofaktorska avtentikacija. To situacijo preučujemo, da bi ugotovili, ali lahko storimo več, da bi ljudem pomagali pri upravljanju njihove komunikacije."
Družbeno omrežje ni pojasnilo, ali je samodejno objavljanje na stenah uporabnikov napaka, navedlo pa je tudi, da lahko uporabniki uporabljajo dvofaktorsko avtentikacijo, ne da bi registrirali telefonsko številko z uporabo "generatorja kod" v mobilni aplikaciji Facebook.
Glejte povezano Kako omogočiti (ali onemogočiti) dvofaktorsko preverjanje pristnosti na Facebooku Razloženo dvofaktorsko preverjanje pristnosti: zakaj bi morali omogočiti varnost v dveh korakihTežko si je predstavljati, da je katera koli od pomanjkljivosti premišljena poteza s strani Facebooka, še posebej potem, ko je Mark Zuckerberg sprejel novo novoletno zaobljubo za odpravo pomanjkljivosti družbenega omrežja. Vodja spletnega mesta Civic Engagement, Samidh Chakrabarti, je prav tako nedavno napovedal ukrepe, ki bodo pomagali obnoviti zaupanje uporabnikov v spletno mesto. Namesto tega je videti, da sta se dve hrošči preprosto združili na najslabši način.
Vendar, dokler ne bo Facebook dodatno pojasnil, kako so uporabniki prejeli obvestila prek telefonske številke, ki so jo registrirali za dvofaktorsko preverjanje pristnosti, se bodo nekateri neizogibno spraševali, ali je to še en primer vse večjega obupa družbenega omrežja, da bi spodbudilo sodelovanje uporabnikov.