Facebook 的首席安全官亚历克斯·斯塔莫斯 (Alex Stamos) 宣布,其双因素身份验证存在一个缺陷,即通过短信向某些用户发送通知。
在一篇博客文章中,他说:“我们最不希望人们避免使用有用的安全功能,因为他们担心会收到无关的通知。我们无意向这些电话号码发送与安全无关的 SMS 通知,对于这些消息可能造成的任何不便,我们深表歉意。”
一些遇到该错误的用户还发现,当他们回复要求他们停止的通知时,他们的消息会被张贴到他们的 Facebook 墙上,供所有人查看。根据 Stamos 的说法,在这些情况下,社交网络的行为不是缺陷,而是用户根本不知道的功能。
“多年来,在智能手机普及之前,我们支持通过短信发布到 Facebook,但如今此功能不太有用。因此,我们正在努力尽快弃用此功能。”
这个借口对我来说仍然有点可疑,因为 Facebook 的支持页面说你需要设置 Facebook 文本才能利用这个功能。正如我们在下面的原始故事中提到的那样,明确指出错误的程序员加布里埃尔刘易斯说他从未注册过短信。
话虽如此,刘易斯收到通知的电话号码 (32665) 与 Facebook 用于短信功能的号码完全相同,所以谁知道呢。这个故事的寓意是,如果您不希望某些东西出现在您的墙上,请不要意外地与 Facebook 分享。
原始故事继续如下:
Facebook 在处理双因素身份验证方面存在两个重大缺陷,因此正在接受审查。
双因素身份验证或 2FA 用于为在线帐户添加额外的安全层。当您使用用户名和密码登录时,会生成第二个唯一代码,通常通过 SMS 发送,以阻止其他任何人访问帐户。
正如 The Verge 报道的那样,美国软件工程师 Gabriel Lewis 本周早些时候注意到,Facebook 正在向他注册的电话号码发送短信通知,只是为了接收这些登录代码。值得注意的是,他从未选择启用短信通知。
继续阅读:如何在 Facebook 上启用双因素身份验证
第二个缺陷,似乎是一个错误,当刘易斯回复要求 Facebook 停止发送它们的文本时,他的回复被张贴到了他的 Facebook 墙上,让他的所有朋友都能看到。雪上加霜的是,通知还在继续。
第一个缺陷在很多方面更令人不安,因为这似乎意味着 Facebook 在未经明确许可的情况下将用户的电话号码用于营销目的。正如 The Verge 指出的那样,这为在美国采取法律行动提供了依据,其中《电话消费者保护法》禁止公司在未经同意的情况下以这种方式与您联系。
这并不是说第二个缺陷的影响也不重要。 Twitter用户David Comdico通过愤怒回复通知,在不经意间告诉他的所有家人下地狱,这显然很不理想。
在这个阶段,缺陷似乎是特定于区域的。它似乎不会影响英国的任何人。更重要的是,当我尝试回复登录代码 SMS 时,短信根本无法发送,因此我的 Facebook 墙上没有任何内容。
阅读下一篇:解释了两因素身份验证
著名的土耳其作家 Zeynep Tufekci 直言不讳地批评这些缺陷,她询问欧盟是否有人受到影响,在撰写本文时,没有人回应说他们受到了影响。
Facebook 给了我们与 The Verge 相同的声明:“我们让人们控制他们的通知,包括那些与安全功能相关的通知,比如双因素身份验证。我们正在调查这种情况,看看我们是否可以做更多的事情来帮助人们管理他们的沟通。”
该社交网络没有说明自动发布到用户的墙上是否是一个错误,它还表示用户可以使用双因素身份验证,而无需使用 Facebook 移动应用程序上的“代码生成器”注册电话号码。
请参阅相关如何在 Facebook 上启用(或禁用)两步验证两步验证解释:为什么你应该启用两步安全很难想象其中任何一个缺陷都是 Facebook 的计算动作,尤其是在马克·扎克伯格 (Mark Zuckerberg) 做出新的新年决议以修复社交网络的缺陷之后。该网站的公民参与负责人 Samidh Chakrabarti 最近也宣布了帮助重建用户对该网站信任的措施。相反,看起来两个错误只是以最糟糕的方式聚集在一起。
然而,在 Facebook 进一步澄清用户如何通过他们注册的双因素身份验证的电话号码接收通知之前,一些人将不可避免地质疑这是否是社交网络越来越渴望推动用户参与的另一个例子。