Facebook está pedindo a senha do seu e-mail para acessar seus contatos

O Facebook já tem, por padrão, acesso a uma série de informações dos seus usuários, mas, aparentemente, ele quer mais. Segundo o Business Insider, a rede social fundada por Mark Zuckerberg está pedindo para que alguns usuários forneçam as senhas de seus e-mails ao se logarem ou criarem uma conta. A função parece trabalhar apenas em certos provedores de e-mail, como Yandex ou GMX. Mais além, a rede estaria interagindo com as redes de contatos desses usuários.

Basicamente, um usuário de qualquer um destes provedores que compartilhar a senha pedida, imediatamente verá um pop up dizendo que o Facebook está “importando contatos”, mesmo sem pedir nenhuma permissão prévia ao usuário. Especialistas em segurança criticaram a ferramenta, dizendo que ela pode “educar internautas a agirem de forma errada”. O senso comum da segurança na rede rege que nenhuma senha pessoal deve ser compartilhada fora do local para qual ela é destinada.

“Basicamente, não há diferença entre isso e um golpe de phishing”, disse Bennett Cyphers, um pesquisador de segurança digital da Electronic Frontier Foundation. “Isso é errado em todos os níveis possíveis. É um excesso absurdo do Facebook e uma tentativa porca de enganar as pessoas a fazerem o upload de dados de contato como se fosse o preço por se cadastrar [na rede]. Ainda que você permita o upload dessas informações, você jamais deveria ter que dar a eles a sua senha de e-mail”, diz.

“Nenhuma empresa deveria, jamais, pedir pelas credenciais das pessoas assim, e você não deve confiar em nenhuma que o faça. Isso vai contra toda a sabedoria convencional de segurança, contra a decência básica e bom senso”, Cyphers finaliza.

Tal opinião encontra eco na voz de Troy Hunt, um especialista em segurança e operador do serviço de hack de notificações Have I Been Pwned:

“É certamente um antipadrão de segurança, já que envolve o compartilhamento de segredos de uma plataforma (a provedora de e-mail) com outra (o Facebook). Ainda que o Facebook esteja tomando precauções para proteger essa senha, me parece desnecessário quando há uma alternativa mais simples (a sua abordagem com o Gmail, por exemplo) e que não condicione usuários a aceitarem um comportamento de risco”.

O mesmo problema não é visto em contas de e-mail do Gmail, o serviço provido pela Google. Nestes casos, há o uso do OAuth, uma ferramenta bastante popular para verificação de segurança em páginas de login, que confirma a autenticidade de uma conta sem que o usuário precise oferecer sua senha.

Por meio de um porta-voz, o Facebook disse que vai parar de utilizar a ferramenta, porém não ofereceu nenhum prazo para a sua descontinuidade. "As pessoas sempre podem optar por confirmar a sua identidade por meio de um código numérico enviado aos seus celulares ou um link para seus e-mails. Isso dito, nós entendemos que a verificação por senha não é a melhor saída para isso, então vamos parar de utilizá-la". A rede ainda informa que as senhas oferecidas não são armazenadas pela rede social.

Fonte: Business Insider