Facebook är i blåsväder igen. Den här gången handlar det inte om något misstag som gjort att användares lösenord råkat loggas i klartext (likt incidenten i mars). Nu har Facebook i stället bett användare att göra något som vi i IT-säkerhetsbranschen ständigt påminner alla om att aldrig någonsin göra.
Verifiering av e-postadresser
När en användare skapar ett nytt konto på valfri webbtjänst får han eller hon oftast uppge sin e-postadress. Den e-postadressen ber webbtjänsten sedan om att få verifierad för att inte råka skicka meddelanden till fel person. Verifieringen görs generellt genom att användaren får en länk som han eller hon måste klicka på.
(Verifieringslänken är säkerhetsmässigt okej att klicka på i och med att den är ”beställd” av användaren i fråga. Det är för övrigt så verifieringen går till på Nikka Systems Academy.)
Facebooks absurda lösning
Personen bakom Twitter-kontot @originalesushi uppmärksammade att Facebook hade hittat på ett alternativt sätt att verifiera e-postadresser. I stället för att låta användaren klicka på en verifieringslänk bad Facebook helt enkelt om att få lösenordet till e-postkontot, så att de kunde verifiera kontot per automatik.
@originalesushi 2019-03-31
Som vi nämnt många gånger tidigare är e-postkontot det viktigaste kontot att skydda (på grund av rollen som det fyller för återställning av lösenord). Att Facebook ber om att få lösenordet dit är därför helt absurt! Ingen användare bör under några som helst omständigheter dela med sig av sitt e-postlösenord.
Facebook hade troligtvis inga onda avsikter när de begärde åtkomst till användarnas e-postkonton. Det spelar dock ingen roll. Facebooks agerande påminner om rena rama nätfiskeattacken. Det är högst beklagligt att ett så stort företag låter sina användare tro att nämnd verifieringsprocess är acceptabel.
Lämna aldrig ut ditt e-postlösenord
Lyckligtvis var det inte alla nya användare som uppmanades att begå denna säkerhetsmässigt vanvettiga handling. Facebook har också, i en kommentar till The Daily Beast, meddelat att de kommer sluta använda verifieringsmetoden.
Frågan kvarstår kring hur uppfinnandet av verifieringsmetoden kunde gå till. I brist på andra uttryck kan metoden inte beskrivas som annat än ”hål i huvudet”. Det är därför på sin plats att påminna om att webbtjänster aldrig ska ha tillgång till andra webbtjänsters lösenord. Facebook ska aldrig få reda på ditt e-postlösenord. Twitter ska aldrig få reda på ditt Microsoft-lösenord. Mer information om detta kommer i veckans avsnitt av Bli säker-podden som släpps på fredag.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.