A Facebook biztonsági igazgatója, Alex Stamos bejelentette, hogy a kétfaktoros hitelesítés hibája, amely azt jelentette, hogy egyes felhasználók SMS-ben kaptak értesítést, hiba volt.
Egy blogbejegyzésében azt mondta: „Az utolsó dolog, amit szeretnénk, hogy az emberek kerüljék a hasznos biztonsági funkciókat, mert attól tartanak, hogy nem kapcsolódó értesítéseket kapnak. Nem állt szándékunkban nem biztonsági vonatkozású SMS-értesítéseket küldeni ezekre a telefonszámokra, és elnézést kérek az üzenetek által okozott esetleges kellemetlenségekért."
Egyes felhasználók, akik tapasztalták a hibát, azt is felfedezték, hogy amikor válaszokat küldtek az értesítésekre, amelyben felszólították őket, hogy hagyják abba, üzeneteiket a Facebook-falukra tették közzé, hogy mindenki láthassa. Stamos szerint ezekben az esetekben a közösségi hálózat viselkedése nem hiba volt, hanem olyan funkcionalitás, amelyről a felhasználók egyszerűen nem voltak tudatában.
„Évekig, az okostelefonok elterjedése előtt támogattuk az SMS-ben történő közzétételt a Facebookon, de ez a funkció manapság kevésbé hasznos. Ennek eredményeként azon dolgozunk, hogy ezt a funkciót hamarosan megszüntetjük.”
Ez a kifogás még mindig kissé furcsán hangzik számomra, mivel a Facebook támogatási oldalai azt mondják, hogy be kell állítania a Facebook-szövegeket, hogy kihasználja ezt a funkciót. Ahogy az eredeti történetben említettük, Gabriel Lewis, a programozó, aki kiemelte a hibákat, kifejezetten azt mondta, hogy soha nem iratkozott fel szöveges üzenetküldésre.
Ennek ellenére a telefonszám, amelyről Lewis megkapta az értesítéseket (32665), ugyanaz a szám, amelyet a Facebook az SMS-funkciókhoz használ, szóval ki tudja. A sztori morálja, hogy ha nem akarod, hogy valami megjelenjen a faladon, ne oszd meg véletlenül a Facebookkal.
Az eredeti történet alább folytatódik:
A Facebookot két jelentős hiba miatt vizsgálják a kétfaktoros azonosítás kezelésében.
A kéttényezős hitelesítést vagy 2FA-t arra használják, hogy további biztonsági réteget adnak az online fiókokhoz. Amikor felhasználónévvel és jelszóval jelentkezik be, egy második, egyedi kód generálódik, amelyet gyakran SMS-ben küldenek el, hogy megakadályozzák, hogy bárki más hozzáférjen egy fiókhoz.
Amint arról a The Verge beszámolt, Gabriel Lewis amerikai szoftvermérnök a hét elején észrevette, hogy a Facebook szöveges értesítéseket küld egy telefonszámra, amelyet csak azért regisztrált, hogy megkapja ezeket a bejelentkezési kódokat. Lényeges, hogy soha nem választotta az SMS-értesítések engedélyezését.
OLVASSA EL A KÖVETKEZŐT: A kétfaktoros hitelesítés engedélyezése a Facebookon
A második hiba, amely hibának tűnik, az, hogy amikor Lewis válaszolt a Facebook-ot arra kérő szövegekre, hogy hagyja abba a küldést, válaszait a Facebook falára tették közzé, hogy minden barátja lássa. A sérülések sértése érdekében az értesítések folytatódtak.
Az első hiba sok szempontból aggasztóbb, mert látszólag azt jelenti, hogy a Facebook kifejezett engedély nélkül használja fel a felhasználók telefonszámait marketing célokra. Amint a The Verge rámutat, ez jogi lépésekre ad okot az Egyesült Államokban, ahol a telefonos fogyasztóvédelmi törvény tiltja, hogy a cégek beleegyezés nélkül ily módon kapcsolatba lépjenek Önnel.
Ez nem jelenti azt, hogy a második hiba következményei nem is jelentősek. David Comdico Twitter-felhasználónak sikerült véletlenül a pokolra üzennie az egész családjának azáltal, hogy mérgesen válaszolt az értesítésekre, ami nyilvánvalóan távol áll az ideálistól.
Ebben a szakaszban úgy tűnik, hogy a hibák régióspecifikusak. Úgy tűnik, hogy ez senkit nem érint az Egyesült Királyságban. Sőt, amikor megpróbálok válaszolni egy bejelentkezési kódos SMS-re, egyszerűen nem sikerül elküldeni a szöveges üzeneteket, így semmi sem jelenik meg a Facebook falamon.
OLVASSA EL A KÖVETKEZŐT: A kéttényezős hitelesítés magyarázata
A neves török író, Zeynep Tufekci, aki szókimondóan bírálta a hibákat, megkérdezte, hogy érintett-e valakit az EU-ban, és a cikk írásakor senki sem válaszolt, hogy igen.
A Facebook ugyanazt a kijelentést adta nekünk, mint a The Verge-nek: „Az embereknek megadjuk az ellenőrzést az értesítéseik felett, beleértve azokat is, amelyek olyan biztonsági funkciókkal kapcsolatosak, mint a kéttényezős hitelesítés. Megvizsgáljuk ezt a helyzetet, hogy lássuk, tehetünk-e még többet az emberek kommunikációjának kezelésében.”
A közösségi oldal nem tisztázta, hogy hiba volt-e az automatikus közzététel a felhasználók falára, és azt is közölték, hogy a felhasználók a Facebook mobilalkalmazásában található „kódgenerátor” segítségével telefonszám regisztráció nélkül is használhatnak kétfaktoros azonosítást.
Lásd a kapcsolódó Hogyan engedélyezzük (vagy tiltsuk le) a kéttényezős hitelesítést a Facebookon A kéttényezős hitelesítés magyarázata: Miért érdemes engedélyezni a kétlépcsős biztonságotNehéz elképzelni, hogy a hibák bármelyike kiszámított lépés a Facebook részéről, különösen miután Mark Zuckerberg újévi fogadalmat tett a közösségi hálózat hibáinak kijavítására. Az oldal Civic Engagement vezetője, Samidh Chakrabarti a közelmúltban szintén olyan intézkedéseket jelentett be, amelyek elősegítik a felhasználók oldal iránti bizalmának helyreállítását. Ehelyett úgy tűnik, hogy két hiba egyszerűen a legrosszabb módon összejött.
Mindaddig azonban, amíg a Facebook nem tisztázza, hogy a felhasználók hogyan kaptak értesítéseket a kétlépcsős azonosításhoz regisztrált telefonszámukon keresztül, egyesek elkerülhetetlenül megkérdőjelezik, hogy ez egy újabb példa-e a közösségi háló növekvő elkeseredettségére a felhasználók elköteleződése érdekében.