Thường thì, các chuyên gia bảo mật thường khuyến cáo người dùng không bao giờ chia sẻ mật khẩu của họ với bất kì một dịch vụ nào, ngoại trừ mật khẩu cho chính dịch vụ mà học đang dùng để tránh các nguy cơ “tấn công phishing” nơi mật khẩu và các dữ liệu cá nhân của người dùng bị lấy cắp.
Thế nhưng trên Facebook, khi người dùng đăng kí tài khoản bằng email của một số đơn vị cung cấp dịch vụ, bao gồm Yandex và GMX, Facebook yêu cầu người dùng phải “xác nhận địa chỉ email” bằng cách nhập thẳng mật khẩu của mình vào Facebook.
Người dùng các dịch vụ email khác như Gmail không gặp phải tình huống tương tự bởi dịch vụ này dùng công cụ xác thực Oauth - một công cụ phổ biến để xác nhận danh tính người dùng mà không cần nhập vào mật khẩu như cách mà Facebook đang làm.
Business Insider cho biết thêm rằng nếu người dùng mới đồng ý nhập mật khẩu email của mình vào Facebook, một hộp thoại cũng sẽ hiển thị cho biết Facebook đang “nhập vào danh bạ của bạn” - dù chưa xin phép người dùng để làm điều đó. Business Insider liên hệ với Facebook để tìm câu trả lời và nhận được phản hồi cho biết Facebook đang huỷ bỏ tính năng trên nhưng không đi sâu chi tiết vào thời gian.
“Chẳng khác gì một kiểu tấn công phishing.”
Bennett Cyphets, một nhà nghiên cứu bảo mật cùng nhóm Electronic Frontier Foundation, đã kích liệt phản đối hành động của Facebook. “Về cơ bản, điều này chẳng khác gì một kiểu tấn công phishing,” ông nhận định, đồng thời khẳng định người dùng thông thường được khuyên không bao giờ chia sẻ mật khẩu của mình cho bất kì ai ngoại trừ mật khẩu mà họ tạo ra cho chính dịch vụ đó.
“Ở nhiều mức độ, đây là điều tội tệ. Facebook rõ ràng đã làm quá và cố gắng lừa người dùng tải lên dữ liệu về danh bạ của họ cho Facebook như một cái giá của việc đăng kí tài khoản. Ngay cả khi bạn chấp thuận tải lên dữ liệu danh bạ thì bạn cũng không bao giờ nên phải cung cấp cả mật khẩu của mình,” Cyphers nhấn mạnh thêm.
“Không một công ty nào nên yêu cầu người dùng cung cấp các thông tin như thế và bạn không nên tin tưởng ai bắt bạn làm điều đó. Điều này đi ngược lại các khuyến cáo về bảo mật thông thường,” ông nói thêm.
Troy Hunt, một chuyên gia bảo mật đồng thời là nhà vận hành dịch vụ Have I Been Pwned, cũng lên tiếng chỉ trích. “Rõ ràng là một vấn đề phi bảo mật liên quan đến yêu cầu chia sẻ một bí mật của nền tảng này (email) cho một nền tảng khác (Facebook),” Troy chia sẻ trong một email.
Thông báo yêu cầu nhập mật khẩu cho biết Facebook không lưu trữ mật khẩu này, tuy nhiên chưa có một đơn vị độc lập nào kiểm chứng và xác nhận tiều này. Người dùng trong khi đó vốn vẫn đang nghi ngại Facebook sau hàng loạt lùm xùm gần đây.
Trong một thông cáo, Facebook cho biết: “Những mật khẩu này đều không được Facebook lưu lại. Một nhóm nhỏ người dùng được yêu cập nhập vào mật khẩu để xác nhận tài khoản khi họ đăng ký lần đầu Facebook. Người dùng hoàn toàn có thể chọn cách xác nhận khác như thông qua mã gửi về điện thoại hay đường link qua email.”
Facebook nói thêm mạng xã hội này hiểu việc yêu cầu cung cấp mật khẩu email không phải tối ưu nhất và vì thế họ sẽ dừng điều này lại.
