Facebook đòi mật khẩu email, ngầm lấy danh bạ người dùng?

Một bước xác thực email khá kỳ lạ trên Facebook vừa được phát hiện. Những người dùng sử dụng tên miền email nhất định của Yandex và GMX sẽ được Facebook hỏi lại một lần để “xác nhận địa chỉ email”.

Facebook muốn biết mật khẩu email người dùng làm gì?

Để xác nhận, người dùng phải nhập mật khẩu email của họ, một hành động mà chuyên gia bảo mật cho rằng ẩn chứa nhiều rủi ro. Theo Business Insider, khi người dùng nhập mật khẩu email trên Facebook, trang web này sẽ hiện thông báo “đang nhập danh bạ”, mặc dù không hề hỏi người dùng để thực hiện hành động này.

Yêu cầu mật khẩu email chỉ có đối với một số nhà cung cấp email nhất định. Một số dịch vụ khác như Gmail đã sử dụng những công nghệ xác thực như OAuth, cho phép các dịch vụ xác thực với nhau mà không cần nhập mật khẩu.

Người dùng phải nhập mật khẩu email để xác thực trên Facebook nếu sử dụng một số tên miền email nhất định. Ảnh: Business Insider.

Danh bạ của người dùng là một trong những dữ liệu rất quan trọng với Facebook. Nhờ danh bạ này, họ có thể biết được những người quen của người dùng mới, từ đó gợi ý người dùng kết bạn. Danh bạ cũng có thể được sử dụng để xây dựng cơ sở dữ liệu nhằm xác định sở thích, tính cách người dùng, qua đó bán quảng cáo chuẩn xác hơn.

Khung yêu cầu nhập mật khẩu cho biết Facebook không lưu trữ các mật khẩu này, tuy nhiên rất khó để kiểm chứng tuyên bố này của Facebook. Cuối tháng 3/2019, Facebook thừa nhận họ từng lưu trữ mật khẩu của hàng trăm triệu khách hàng mà không mã hóa, người dùng trong nội bộ Facebook có thể đọc được.

Khi được hỏi về lý do đòi mật khẩu email của người dùng, đại diện Facebook cho biết họ sẽ sớm dừng tính năng này và chuyển sang sử dụng các phương thức xác thực khác.

"Facebook không lưu trữ các mật khẩu này. Chỉ có một nhóm nhỏ người dùng được yêu cầu nhập mật khẩu email để xác thực tài khoản khi họ đăng ký sử dụng Facebook lần đầu. Người dùng hoàn toàn có thể từ chối cung cấp mật khẩu mà xác thực bằng một cách khác như tin nhắn OTP hay đường link gửi tới email.

Chúng tôi cũng nhận biết rằng xác thực bằng mật khẩu không phải là cách làm tốt nhất, do đó chúng tôi sẽ dừng cách xác thực này trong thời gian tới”, đại diện của Facebook trả lời trên Business Insider.

'Đây chẳng khác nào một kiểu tấn công phishing'

Ông Bennett Cyphers, nhà nghiên cứu bảo mật tại Electronic Frontier Foundation cho rằng đây là một hành động tấn công người dùng.

“Hành động này chẳng khác gì một kiểu tấn công phishing”, ông Cyphers cho biết. Phising là kiểu tấn công trong đó một trang web giả mạo trang web người dùng muốn truy cập, yêu cầu họ đăng nhập, trong đó có bước điền mật khẩu. Mật khẩu này sau đó sẽ bị khai thác để tấn công tài khoản của người dùng.

Theo ông Cypher, việc Facebook yêu cầu người dùng nhập mật khẩu email cũng không khác gì một trang web phising.

“Tính năng này có quá nhiều điểm sai. Nó là một hành động lạm dụng của Facebook, và là một chiêu trò để dụ người dùng tải dữ liệu danh bạ của họ lên Facebook, coi như là giá phải trả để sử dụng dịch vụ này. Kể cả khi bạn đồng ý cho Facebook truy cập danh bạ, thì bạn cũng không nên bị hỏi nhập mật khẩu email.

Không một công ty nào có quyền hỏi người dùng những chi tiết như vậy, và bạn cũng không nên tin những công ty đó. Đây là hành động đi ngược lại mọi lời khuyên về bảo mật”, ông Cypher nhận xét thêm.

Chuyên gia cho rằng đây có thể là cách Facebook dùng để có quyền truy cập danh bạ người dùng. Ảnh: Business Insider.

Ông Troy Hunt, nhà nghiên cứu tại Have I Been Pwned cũng chỉ trích tính năng này của Facebook.

“Đây rõ ràng là một hành động thiếu bảo mật bởi nó yêu cầu người dùng chia sẻ dữ liệu nhạy cảm từ một nền tảng, ở đây là nhà cung cấp email, tới một nền tảng khác, chính là Facebook.

Dù Facebook có bảo vệ mật khẩu email này, cách làm của họ cũng quá thừa thãi và có thể khiến người dùng gặp rủi ro”, ông Hunt nhận định.

Theo zing.vn