Glavni službenik za sigurnost Facebooka, Alex Stamos, objavio je da je greška u njegovoj dvofaktorskoj autentifikaciji koja je značila da su nekim korisnicima poslane obavijesti putem tekstualne poruke greška.
U postu na blogu rekao je “Zadnje što želimo je da ljudi izbjegavaju korisne sigurnosne značajke jer se boje da će primati nepovezane obavijesti. Nije nam bila namjera slati SMS obavijesti koje se ne odnose na sigurnost na ove telefonske brojeve i žao mi je zbog neugodnosti koje su te poruke mogle uzrokovati.”
Neki korisnici koji su iskusili bug također su otkrili da kada su poslali odgovore na obavijesti u kojima se tražilo da prestanu, njihove su poruke bile objavljene na njihovim Facebook zidovima kako bi ih svi mogli vidjeti. Prema Stamosu, u tim slučajevima ponašanje društvene mreže nije bila mana, već funkcionalnost koje korisnici jednostavno nisu bili svjesni.
“Godinama, prije sveprisutnosti pametnih telefona, podržavali smo objavljivanje na Facebooku putem tekstualnih poruka, no ova je značajka ovih dana manje korisna. Kao rezultat toga, radimo na tome da uskoro ukinemo ovu funkcionalnost.”
Ova isprika mi još uvijek zvuči malo sumnjivo, budući da Facebookove stranice podrške kažu da morate postaviti Facebook tekstove kako biste iskoristili ovu funkcionalnost. Kao što smo spomenuli u izvornoj priči u nastavku, Gabriel Lewis, programer koji je istaknuo greške izričito je rekao da se nikada nije prijavio za razmjenu tekstualnih poruka.
Rekavši to, telefonski broj s kojeg je Lewis primao obavijesti (32665) je isti broj koji Facebook koristi za značajke tekstualnih poruka, pa tko zna. Moral priče je ako ne želite da vam se nešto pojavi na zidu, nemojte to slučajno podijeliti s Facebookom.
Izvorna priča se nastavlja u nastavku:
Facebook je pod lupom zbog dva značajna propusta u rukovanju dvofaktorskom autentifikacijom.
Dvofaktorska autentifikacija ili 2FA koristi se za dodavanje dodatnog sloja sigurnosti online računima. Kada se prijavite pomoću korisničkog imena i lozinke, generira se drugi, jedinstveni kod, koji se često šalje SMS-om, kako bi se spriječilo da bilo tko drugi pristupi računu.
Kako je izvijestio The Verge, američki softverski inženjer Gabriel Lewis primijetio je ranije ovog tjedna da Facebook šalje tekstualne obavijesti na telefonski broj koji je registrirao samo za primanje ovih kodova za prijavu. Značajno je da nikada nije odlučio omogućiti obavijesti putem tekstualnih poruka.
PROČITAJTE DALJE: Kako omogućiti dvofaktorsku autentifikaciju na Facebooku
Druga mana, za koju se čini da je bug, je da kada je Lewis odgovorio na tekstove tražeći od Facebooka da ih prestane slati, njegovi odgovori su objavljeni na njegovom Facebook zidu kako bi svi njegovi prijatelji mogli vidjeti. Da bi ozljeda bila još uvreda, obavijesti su se nastavile.
Prva mana je na mnogo načina više zabrinjavajuća, jer naizgled znači da Facebook koristi telefonske brojeve korisnika u marketinške svrhe bez izričitog dopuštenja. Kako ističe The Verge, to daje temelj za tužbu u SAD-u, gdje Zakon o zaštiti potrošača telefonskih usluga zabranjuje tvrtkama da vas kontaktiraju na ovaj način bez pristanka.
To ne znači da implikacije druge mane također nisu značajne. Korisnik Twittera David Comdico uspio je cijeloj svojoj obitelji poručiti da nehotice odu kvragu tako što je ljutito odgovarao na obavijesti, što je očito daleko od idealnog.
U ovoj fazi, čini se da su nedostaci specifični za regiju. Čini se da to ne utječe ni na koga u Ujedinjenom Kraljevstvu. Štoviše, kada pokušam odgovoriti na SMS s kodom za prijavu, tekstualne poruke jednostavno ne mogu poslati, tako da se ništa ne pojavljuje na mom Facebook zidu.
PROČITAJTE SLJEDEĆE: Objašnjena dvofaktorska autentifikacija
Istaknuta turska spisateljica Zeynep Tufekci, koja je bila otvorena u svojoj kritici nedostataka, upitala je je li itko u EU pogođen, a u vrijeme pisanja ovog teksta nitko nije odgovorio da jesu.
Facebook nam je dao istu izjavu koju je dao The Vergeu: “Ljudima dajemo kontrolu nad njihovim obavijestima, uključujući one koje se odnose na sigurnosne značajke poput dvofaktorske autentifikacije. Provjeravamo ovu situaciju kako bismo vidjeli možemo li više učiniti kako bismo pomogli ljudima da upravljaju svojom komunikacijom.”
Društvena mreža nije pojasnila je li automatska objava na zidovima korisnika bila bug, a navela je i da korisnici mogu koristiti dvofaktorsku autentifikaciju bez registracije telefonskog broja pomoću "generatora kodova" na mobilnoj aplikaciji Facebook.
Pogledajte povezano Kako omogućiti (ili onemogućiti) dvofaktorsku autentifikaciju na Facebooku Objašnjeno je dvofaktorska provjera autentičnosti: Zašto biste trebali omogućiti sigurnost u dva korakaTeško je zamisliti da je bilo koji od nedostataka sračunati potezi Facebooka, pogotovo nakon što je Mark Zuckerberg donio novu novogodišnju odluku da popravi nedostatke društvene mreže. Voditelj Civic Engagementa na stranici, Samidh Chakrabarti, također je nedavno najavio mjere koje će pomoći obnoviti povjerenje korisnika u stranicu. Umjesto toga, izgleda kao da su se dvije greške jednostavno spojile na najgori način.
Međutim, dok od Facebooka ne dođe do daljnjeg pojašnjenja o tome kako su korisnici došli do primanja obavijesti putem telefonskog broja koji su registrirali za autentifikaciju u dva faktora, neki će se neizbježno zapitati je li to još jedan primjer sve većeg očaja društvene mreže da potakne angažman korisnika.