קצין האבטחה הראשי של פייסבוק, אלכס סטמוס, הודיע כי פגם באימות הדו-שלבי שלה שגרם לכך שחלק מהמשתמשים קיבלו הודעות בהודעת טקסט הוא באג.
בפוסט בבלוג הוא אמר "הדבר האחרון שאנחנו רוצים הוא שאנשים ימנעו מתכונות אבטחה מועילות כי הם חוששים שהם יקבלו התראות לא קשורות. לא הייתה כוונתנו לשלוח הודעות SMS שאינן קשורות לאבטחה למספרי טלפון אלה, ואני מצטער על אי הנוחות שהודעות אלו עלולות לגרום".
כמה משתמשים שחוו את הבאג גילו גם שכאשר שלחו תשובות להתראות וביקשו מהם להפסיק, ההודעות שלהם פורסמו לקירות הפייסבוק שלהם כדי שכולם יוכלו לראות. לדברי Stamos, במקרים אלה, התנהגות הרשת החברתית לא הייתה פגם, אלא פונקציונליות שהמשתמשים פשוט לא היו מודעים לה.
"במשך שנים, לפני שנפוצו בכל מקום של סמארטפונים, תמכנו בפרסום לפייסבוק באמצעות הודעת טקסט, אבל התכונה הזו פחות שימושית בימינו. כתוצאה מכך, אנו פועלים לבטל את הפונקציונליות הזו בקרוב."
התירוץ הזה עדיין נשמע לי קצת דגי, מכיוון שעמודי התמיכה של פייסבוק אומרים שאתה צריך להגדיר טקסטים של פייסבוק כדי לנצל את הפונקציונליות הזו. כפי שהזכרנו בסיפור המקורי למטה, גבריאל לואיס, המתכנת שהדגיש את התקלות אמר במפורש שהוא מעולם לא נרשם להודעות טקסט.
עם זאת, מספר הטלפון ממנו קיבל לואיס את ההתראות (32665) הוא אותו מספר שפייסבוק משתמשת בו עבור תכונות הודעות הטקסט, אז מי יודע. מוסר ההשכל של הסיפור הוא שאם אתה לא רוצה שמשהו יופיע על הקיר שלך, אל תשתף אותו עם פייסבוק בטעות.
הסיפור המקורי ממשיך להלן:
פייסבוק נמצאת בבדיקה של שני פגמים משמעותיים בטיפול שלה באימות דו-גורמי.
אימות דו-גורמי, או 2FA, משמש להוספת שכבת אבטחה נוספת לחשבונות מקוונים. כאשר אתה מתחבר באמצעות שם משתמש וסיסמה, נוצר קוד שני וייחודי, הנשלח לרוב באמצעות SMS, כדי למנוע מכל אדם אחר לגשת לחשבון.
כפי שדווח על ידי The Verge, מהנדס התוכנה האמריקני גבריאל לואיס שם לב מוקדם יותר השבוע שפייסבוק שולחת הודעות טקסט למספר טלפון שהוא רשם רק עבור קבלת קודי כניסה אלה. באופן משמעותי, הוא מעולם לא בחר לאפשר הודעות טקסט.
קרא הבא: כיצד לאפשר אימות דו-גורמי בפייסבוק
הפגם השני, שנראה כבאג, הוא שכאשר לואיס השיב לטקסטים וביקש מפייסבוק להפסיק לשלוח אותם, תגובותיו פורסמו לקיר הפייסבוק שלו כדי שכל חבריו יוכלו לראות. כדי להוסיף חטא על פשע, ההודעות נמשכו אז.
הפגם הראשון הוא, במובנים רבים, מטריד יותר, מכיוון שלכאורה זה אומר שפייסבוק משתמשת במספרי הטלפון של משתמשים למטרות שיווק ללא רשות מפורשת. כפי ש-The Verge מציין, זה נותן מקום לתביעה משפטית בארה"ב, שבה חוק הגנת הצרכן הטלפוני אוסר על חברות ליצור איתך קשר בדרך זו ללא הסכמה.
זה לא אומר שההשלכות של הפגם השני גם לא משמעותיות. משתמש הטוויטר דייוויד קומדיקו הצליח להגיד לכל משפחתו ללכת לעזאזל בלי משים על ידי תשובה להודעות בכעס, וזה כמובן רחוק מלהיות אידיאלי.
בשלב זה, נראה שהפגמים הם ספציפיים לאזור. נראה שזה לא משפיע על אף אחד בבריטניה. יתרה מכך, כשאני מנסה להשיב לקוד התחברות SMS, הודעות הטקסט פשוט לא מצליחות לשלוח, כך ששום דבר לא מופיע על קיר הפייסבוק שלי.
קרא את הבא: אימות דו-גורמי מוסבר
הסופרת הטורקית הבולטת, זיינפ טופצ'י, שהתבטאה בביקורת שלה על הפגמים, שאלה אם מישהו באיחוד האירופי הושפע, ובזמן כתיבת שורות אלה, איש לא הגיב ואמר שכן.
פייסבוק נתנה לנו את אותה הצהרה שהיא נתנה ל-The Verge: "אנחנו נותנים לאנשים שליטה על ההתראות שלהם, כולל אלו הקשורות לתכונות אבטחה כמו אימות דו-גורמי. אנחנו בודקים את המצב הזה כדי לראות אם יש עוד שאנחנו יכולים לעשות כדי לעזור לאנשים לנהל את התקשורת שלהם".
הרשת החברתית לא הבהירה האם הפרסום האוטומטי לקירות המשתמשים הוא באג והיא גם קבעה כי משתמשים יכולים להשתמש באימות דו-גורמי מבלי לרשום מספר טלפון באמצעות "מחולל הקוד" באפליקציית פייסבוק לנייד.
ראה הסבר בנושא כיצד להפעיל (או להשבית) אימות דו-שלבי בפייסבוק אימות דו-שלבי: מדוע עליך להפעיל אבטחה דו-שלביתקשה לדמיין שאחד מהפגמים הוא מהלכים מחושבים מצד פייסבוק, במיוחד לאחר שמארק צוקרברג קיבל את החלטת השנה החדשה לתקן את הפגמים של הרשת החברתית. גם ראש המעורבות האזרחית של האתר, Samidh Chakrabarti, הכריז לאחרונה על צעדים שיעזרו לבנות מחדש את אמון המשתמשים באתר. במקום זאת, נראה ששני באגים פשוט התאחדו בדרכים הגרועות ביותר.
עם זאת, עד שתהיה הבהרה נוספת מפייסבוק לגבי האופן שבו משתמשים הגיעו לקבל הודעות באמצעות מספר הטלפון שהם רשמו לאימות דו-שלבי, חלקם ישאלו בהכרח אם זו עוד דוגמה לייאוש הגובר של הרשת החברתית להניע את מעורבות המשתמשים.