Hlavní bezpečnostní ředitel Facebooku, Alex Stamos, oznámil, že chyba v jeho dvoufaktorové autentizaci, která znamenala, že některým uživatelům byla zasílána upozornění prostřednictvím textových zpráv, byla chyba.
V příspěvku na blogu řekl: „Poslední věc, kterou chceme, je, aby se lidé vyhýbali užitečným funkcím zabezpečení, protože se obávají, že budou dostávat nesouvisející oznámení. Nebylo naším záměrem na tato telefonní čísla zasílat upozornění SMS, která se netýkají zabezpečení, a omlouvám se za jakékoli nepříjemnosti, které tyto zprávy mohly způsobit.“
Někteří uživatelé, kteří se s chybou setkali, také zjistili, že když odeslali odpovědi na oznámení s žádostí, aby přestali, jejich zprávy byly umístěny na jejich zdi na Facebooku, aby je každý viděl. Podle Stamose v těchto případech nebylo chování sociální sítě chybou, ale spíše funkčností, o které uživatelé jednoduše nevěděli.
„Po celá léta, před všudypřítomností chytrých telefonů, jsme podporovali zveřejňování příspěvků na Facebooku prostřednictvím textových zpráv, ale tato funkce je v dnešní době méně užitečná. V důsledku toho pracujeme na brzkém ukončení podpory této funkce.“
Tato výmluva mi stále zní trochu podrážděně, protože stránky podpory Facebooku říkají, že musíte nastavit texty na Facebooku, abyste mohli využívat tuto funkci. Jak jsme zmínili v původním příběhu níže, Gabriel Lewis, programátor, který upozornil na chyby, výslovně řekl, že se nikdy nepřihlásil k zasílání textových zpráv.
Nicméně, telefonní číslo, ze kterého Lewis obdržel oznámení (32665), je stejné číslo, které Facebook používá pro funkce textových zpráv, takže kdo ví. Morálka příběhu je, že pokud nechcete, aby se něco objevilo na vaší zdi, nesdílejte to náhodou s Facebookem.
Původní příběh pokračuje níže:
Facebook je pod drobnohledem kvůli dvěma významným chybám v zacházení s dvoufaktorovou autentizací.
Dvoufaktorové ověřování neboli 2FA se používá k přidání další vrstvy zabezpečení online účtů. Když se přihlásíte pomocí uživatelského jména a hesla, vygeneruje se druhý, jedinečný kód, často zasílaný prostřednictvím SMS, který zabrání komukoli jinému v přístupu k účtu.
Jak uvedl The Verge, americký softwarový inženýr Gabriel Lewis si začátkem tohoto týdne všiml, že Facebook zasílá textová upozornění na telefonní číslo, které zaregistroval pouze pro příjem těchto přihlašovacích kódů. Je příznačné, že se nikdy nerozhodl povolit upozornění na textové zprávy.
ČTĚTE DALŠÍ: Jak povolit dvoufaktorové ověřování na Facebooku
Druhou chybou, která se zdá být chybou, je to, že když Lewis odpověděl na texty žádající Facebook, aby je přestal posílat, byly jeho odpovědi zveřejněny na jeho facebookové zdi, aby je viděli všichni jeho přátelé. Aby toho nebylo málo, oznámení pak pokračovala.
První chyba je v mnoha ohledech znepokojivější, protože to zdánlivě znamená, že Facebook používá telefonní čísla uživatelů pro marketingové účely bez výslovného povolení. Jak zdůrazňuje The Verge, dává to důvod k právním krokům v USA, kde zákon o ochraně spotřebitele po telefonu zakazuje společnostem kontaktovat vás tímto způsobem bez souhlasu.
To neznamená, že důsledky druhé chyby nejsou také významné. Uživateli Twitteru Davidu Comdicovi se podařilo vztekle odpovědět celé své rodině, aby šla do pekla, nechtěně, což má k ideálu samozřejmě daleko.
V této fázi se zdá, že nedostatky jsou specifické pro daný region. Nezdá se, že by to mělo dopad na nikoho ve Spojeném království. A co víc, když se pokusím odpovědět na SMS s přihlašovacím kódem, textové zprávy se jednoduše nepodaří odeslat, takže se na mé facebookové zdi nic neobjeví.
ČTĚTE DALŠÍ: Vysvětleno dvoufaktorové ověřování
Prominentní turecká spisovatelka Zeynep Tufekci, která otevřeně kritizovala nedostatky, se zeptala, zda byl zasažen někdo v EU, a v době psaní tohoto článku nikdo neodpověděl, že ano.
Facebook nám poskytl stejné prohlášení jako The Verge: „Dáváme lidem kontrolu nad jejich oznámeními, včetně těch, která se týkají bezpečnostních funkcí, jako je dvoufaktorové ověřování. Zkoumáme tuto situaci, abychom zjistili, zda můžeme udělat více, abychom pomohli lidem řídit jejich komunikaci.“
Sociální síť neupřesnila, zda automatické zveřejňování na zdi uživatelů bylo chybou, a také uvedla, že uživatelé mohou používat dvoufaktorovou autentizaci bez registrace telefonního čísla pomocí „generátoru kódů“ v mobilní aplikaci Facebook.
Viz související Jak povolit (nebo zakázat) dvoufaktorovou autentizaci na Facebooku Vysvětlení dvoufaktorové autentizace: Proč byste měli povolit dvoufázové zabezpečeníJe těžké si představit, že by některý z těchto nedostatků byl ze strany Facebooku vypočítaným tahem, zvláště poté, co si Mark Zuckerberg dal novoroční předsevzetí opravit nedostatky sociální sítě. Šéf Civic Engagement webu, Samidh Chakrabarti, také nedávno oznámil opatření, která pomohou obnovit důvěru uživatelů v web. Místo toho to vypadá, že se dva brouci prostě spojili tím nejhorším způsobem.
Dokud však Facebook neobjasní, jak se uživatelé dostali k oznámení prostřednictvím telefonního čísla, které si zaregistrovali pro dvoufaktorovou autentizaci, budou si někteří nevyhnutelně klást otázku, zda se nejedná o další příklad rostoucího zoufalství sociální sítě zvýšit zapojení uživatelů.