Facebook's Chief Security Officer, Alex Stamos, heeft aangekondigd dat een fout in de tweefactorauthenticatie, waardoor sommige gebruikers meldingen per sms kregen, een bug was.
In een blogpost zei hij: "Het laatste wat we willen is dat mensen handige beveiligingsfuncties vermijden omdat ze bang zijn dat ze niet-gerelateerde meldingen zullen ontvangen. Het was niet onze bedoeling om niet-beveiligingsgerelateerde sms-meldingen naar deze telefoonnummers te sturen, en het spijt me voor het eventuele ongemak dat deze berichten hebben veroorzaakt.”
Sommige gebruikers die de bug ondervonden, ontdekten ook dat wanneer ze antwoorden op de meldingen stuurden met het verzoek om te stoppen, hun berichten op hun Facebook-muren werden geplaatst zodat iedereen ze kon zien. Volgens Stamos was het gedrag van het sociale netwerk in deze gevallen geen fout, maar eerder een functionaliteit waarvan de gebruikers zich simpelweg niet bewust waren.
“Jarenlang, vóór de alomtegenwoordigheid van smartphones, ondersteunden we posten op Facebook via sms, maar deze functie is tegenwoordig minder handig. Daarom werken we eraan om deze functionaliteit binnenkort te beëindigen.”
Dit excuus klinkt me nog steeds een beetje raar in de oren, omdat de ondersteuningspagina's van Facebook zeggen dat je Facebook-teksten moet instellen om van deze functionaliteit te profiteren. Zoals we in het originele verhaal hieronder vermeldden, zei Gabriel Lewis, de programmeur die de fouten benadrukte, expliciet dat hij zich nooit had aangemeld voor sms.
Dat gezegd hebbende, het telefoonnummer waarvan Lewis de meldingen ontving (32665) is hetzelfde nummer dat Facebook gebruikt voor de sms-functies, dus wie weet. De moraal van het verhaal is dat als je niet wilt dat er iets op je muur verschijnt, je het niet per ongeluk met Facebook deelt.
Het originele verhaal gaat hieronder verder:
Facebook wordt onderzocht op twee belangrijke tekortkomingen in de verwerking van tweefactorauthenticatie.
Twee-factor-authenticatie, of 2FA, wordt gebruikt om een extra beveiligingslaag toe te voegen aan online accounts. Wanneer u zich aanmeldt met een gebruikersnaam en wachtwoord, wordt een tweede, unieke code gegenereerd, vaak verzonden per sms, om te voorkomen dat iemand anders toegang krijgt tot een account.
Zoals gemeld door The Verge, merkte de Amerikaanse software-ingenieur Gabriel Lewis eerder deze week op dat Facebook sms-meldingen stuurde naar een telefoonnummer dat hij alleen had geregistreerd voor het ontvangen van deze inlogcodes. Het is opmerkelijk dat hij er nooit voor had gekozen om sms-meldingen in te schakelen.
LEES VOLGENDE: Hoe tweefactorauthenticatie op Facebook in te schakelen
De tweede fout, die een bug lijkt te zijn, is dat toen Lewis reageerde op de sms-berichten waarin hij Facebook vroeg om ze niet meer te verzenden, zijn reacties op zijn Facebook-muur werden geplaatst zodat al zijn vrienden ze konden zien. Om het nog erger te maken, gingen de meldingen vervolgens door.
De eerste fout is in veel opzichten verontrustender, omdat het schijnbaar betekent dat Facebook de telefoonnummers van gebruikers gebruikt voor marketingdoeleinden zonder expliciete toestemming. Zoals The Verge opmerkt, geeft dit aanleiding tot juridische stappen in de VS, waar de Telephone Consumer Protection Act bedrijven verbiedt om op deze manier contact met je op te nemen zonder toestemming.
Dat wil niet zeggen dat de implicaties van de tweede fout niet ook significant zijn. Twitter-gebruiker David Comdico slaagde erin zijn hele familie te vertellen dat ze per ongeluk naar de hel moesten gaan door woedend op de meldingen te reageren, wat natuurlijk verre van ideaal is.
In dit stadium lijkt het erop dat de gebreken regiospecifiek zijn. Het lijkt niemand in het VK te beïnvloeden. Wat meer is, wanneer ik probeer te antwoorden op een inlogcode-sms, worden de sms-berichten gewoon niet verzonden, dus verschijnt er niets op mijn Facebook-muur.
LEES VOLGENDE: Twee-factor-authenticatie uitgelegd
De prominente Turkse schrijver, Zeynep Tufekci, die uitgesproken kritiek uitte op de gebreken, vroeg of iemand in de EU getroffen was, en op het moment van schrijven heeft niemand gereageerd.
Facebook gaf ons dezelfde verklaring als aan The Verge: "We geven mensen controle over hun meldingen, inclusief die met beveiligingsfuncties zoals tweefactorauthenticatie. We onderzoeken deze situatie om te zien of we meer kunnen doen om mensen te helpen hun communicatie te beheren."
Het sociale netwerk heeft niet duidelijk gemaakt of het automatisch posten op de muren van gebruikers een bug was en het verklaarde ook dat gebruikers tweefactorauthenticatie kunnen gebruiken zonder een telefoonnummer te registreren met behulp van de "codegenerator" op de mobiele Facebook-app.
Zie gerelateerd Hoe u twee-factor-authenticatie op Facebook in- of uitschakelt Twee-factor-authenticatie uitgelegd: waarom u tweestapsbeveiliging moet inschakelenHet is moeilijk voor te stellen dat een van de tekortkomingen berekende bewegingen van Facebook zijn, vooral nadat Mark Zuckerberg de nieuwe nieuwjaarsresolutie had gemaakt om de tekortkomingen van het sociale netwerk te verhelpen. Het hoofd van Civic Engagement van de site, Samidh Chakrabarti, heeft onlangs ook maatregelen aangekondigd om het vertrouwen van gebruikers in de site te herstellen. In plaats daarvan lijkt het erop dat twee bugs gewoon op de slechtste manieren bij elkaar zijn gekomen.
Totdat Facebook echter meer duidelijkheid krijgt over hoe gebruikers meldingen ontvingen via het telefoonnummer dat ze hebben geregistreerd voor tweefactorauthenticatie, zullen sommigen zich onvermijdelijk afvragen of dit weer een voorbeeld is van de toenemende wanhoop van het sociale netwerk om de betrokkenheid van gebruikers te vergroten.