Facebook要求电子邮件密码然后静静上传联系人列表但我们再一次不关心
就在几周之后,Facebook承认它已经秘密地将其用户的密码以明文形式存储在其服务器上,其员工已经被其员工访问了900多万次,每日野兽本月早些时候报道该公司悄然开始要求一些用户通过将密码移交给他们用于创建Facebook个人资料的电子邮件帐户来验证他们的帐户。当时,该出口公司指出,“该公司最近因为出于”安全“原因而重新利用其最初获取的信息而受到批评。”事实证明,这正是发生的事情,因为Facebook登录用户的外部电子邮件帐户并“无意中”默默上传在他们不知情或未经同意的情况下将其地址簿的副本发送到其服务器,与超过150万人的联系人列表进行交互。该公司已承诺删除数据,但在被要求承诺同意删除非法获取的列表的特定日期时没有回应。我们是如何达到一个主要公司认为可以接受要求用户将密码移交给他们的电子邮件帐户然后悄悄收获他们的联系人列表的点?
也许Facebook最新的隐私丑闻最显着的方面并不是它发生的事情,而是因为它产生了如此少的愤怒,而且我们都不会真正离开平台。
从全球范围来看,这个故事几乎不是技术媒体雷达上的一个昙花一现。当然,它获得了一些头条新闻,但它远远不是曾经与这种大规模隐私和安全漏洞相关的无所不包的长达一周的暴行。
在当今网络意识的数字世界中,对于在线服务要求其用户将其密码交给外部服务几乎闻所未闻,这些服务与他们的电子邮件一样敏感,只是为了使用他们的产品的权利和特权。
有很多产品为电子邮件和社交媒体服务提供增值服务,因此需要获得代表用户访问这些帐户的权限,但在这些情况下,明确需要访问权限,用户理解为何需要访问权限并明确授予该访问权限。
生命的年份:圣地亚哥的每个雇主都需要知道什么
更重要的是,今天没有主要服务要求用户交出密码以方便其访问。实际上,通过双因素硬件身份验证,从一个服务到另一个服务的基于密码的登录越来越不可能。
相反,服务使用简化的身份验证过程,永远不需要外部服务来访问用户的密码,并明确授予服务授予用户数据的特权。
Facebook实际上从不需要访问用户的电子邮件帐户以进行身份验证。自现代网络诞生以来,服务已经通过向用户发送电子邮件帐户,只需向用户发送电子邮件,其中包含点击链接或代码,即可将其复制粘贴回身份验证表单,以验证他们是否可以访问相关帐户。
要求用户分叉他们的密码以验证他们是否可以访问电子邮件帐户,这是前所未有的,并且是对现代安全实践的前所未有的破坏。
除了确认密码请求确实是官方批准的产品而不是恶意编码器的工作或内部错误之外,Facebook仍然保持沉默,为什么它认为请求用户移交他们的电子邮件密码是可接受的安全做法。毫不奇怪,该公司没有回应评论请求。
事实证明,需要此密码的原因之一是Facebook正在悄悄登录用户的电子邮件帐户并默默地收集其上传到自己的服务器的联系人列表。
当面对其活动时,该公司对其行动基本保持沉默,除了声称收获是“无意的”并且在某些时候它将删除收获的清单。
然而,该公司拒绝承诺删除非法获取的数据的具体日期,并且没有回应关于原因的评论请求。
事实上,由于用户在法律上(如果不是心甘情愿地)同意收获,因此不清楚公司是否真的面临删除其所获得数据的任何法律义务。当被问及是否有任何GDPR对收获的影响时,它没有回应。
特别值得注意的是,对于如此严重和间接的违规行为,该公司没有提供更强制的道歉,加上对其安全实践的自上而下的外部审查,并且不承诺在24小时内删除所有获得的数据。
到目前为止,该公司拒绝发表评论或根本没有回应每一个评论请求是否会承诺允许对其整个安全基础设施和立场进行外部独立第三方审查。
由于违规行为违约,我们似乎知道原因:公司过于担心这样的审计会泄露什么。
综上所述,2019年Facebook认为可接受的安全做法是要求用户交出密码并允许收集超过150万用户的地址簿并且拒绝提供时间表,这是非常不寻常的。非法获取的数据将被删除。
Facebook的行动让我们想起了安全性和安全性所采用的方法是多么狡猾。
然而,最终,这并不重要,因为Facebook已成功说服公众和政策制定者不要关心他们的在线安全,保密或隐私。
再一次,我们将坐下来等待下一次大规模Facebook安全漏洞的揭露,但无论我们对它们做什么,我们都不会离开平台。
猜你喜欢