Facebookin turvallisuuspäällikkö Alex Stamos on ilmoittanut, että sen kaksivaiheisessa todennuksen virhe, joka merkitsi, että joillekin käyttäjille lähetettiin ilmoituksia tekstiviestillä, oli virhe.
Blogiviestissä hän sanoi: "Viimeinen asia, jonka haluamme, on, että ihmiset välttävät hyödyllisiä suojausominaisuuksia, koska he pelkäävät saavansa asiaan liittymättömiä ilmoituksia. Tarkoituksenamme ei ollut lähettää turvallisuuteen liittymättömiä tekstiviesti-ilmoituksia näihin puhelinnumeroihin, ja pahoittelen näiden viestien mahdollisesti aiheuttamaa vaivaa."
Jotkut käyttäjät, jotka kokivat virheen, huomasivat myös, että kun he lähettivät vastauksia ilmoituksiin, joissa heitä pyydettiin lopettamaan, heidän viestinsä lähetettiin heidän Facebook-seinilleen kaikkien nähtäväksi. Stamosin mukaan näissä tapauksissa sosiaalisen verkoston käytöksessä ei ollut vikaa, vaan toiminnallisuutta, josta käyttäjät eivät yksinkertaisesti olleet tietoisia.
”Vuosia ennen älypuhelimien yleistymistä tuimme Facebookiin lähettämistä tekstiviestillä, mutta tämä ominaisuus on nykyään vähemmän hyödyllinen. Tämän seurauksena pyrimme poistamaan tämän toiminnon käytöstä pian."
Tämä tekosyy kuulostaa minusta edelleen hieman hämärältä, koska Facebookin tukisivuilla sanotaan, että sinun on määritettävä Facebook-tekstit, jotta voit hyödyntää tätä toimintoa. Kuten mainitsimme alla olevassa alkuperäisessä tarinassa, Gabriel Lewis, ohjelmoija, joka korosti viat, sanoi nimenomaisesti, ettei hän ollut koskaan kirjautunut tekstiviestien lähettämiseen.
Tästä huolimatta puhelinnumero, josta Lewis sai ilmoitukset (32665), on sama numero, jota Facebook käyttää tekstiviestitoimintoihin, joten kuka tietää. Tarinan moraali on, että jos et halua jotain näkyvän seinällesi, älä jaa sitä Facebookin kanssa vahingossa.
Alkuperäinen tarina jatkuu alla:
Facebook on tarkastelun kohteena kahden merkittävän virheen varalta sen kaksivaiheisen todennuksen käsittelyssä.
Kaksivaiheista todennusta tai 2FA:ta käytetään lisäämään verkkotilien suojaustaso. Kun kirjaudut sisään käyttäjätunnuksella ja salasanalla, luodaan toinen, yksilöllinen koodi, joka lähetetään usein tekstiviestinä, jotta kukaan muu ei pääse käyttämään tiliä.
Kuten The Verge raportoi, yhdysvaltalainen ohjelmistoinsinööri Gabriel Lewis huomasi aiemmin tällä viikolla, että Facebook lähetti teksti-ilmoituksia puhelinnumeroon, jonka hän oli rekisteröinyt vain saadakseen nämä kirjautumiskoodit. Merkittävää on, että hän ei ollut koskaan valinnut tekstiviesti-ilmoitusten ottamista käyttöön.
LUE SEURAAVA: Kuinka ottaa kaksivaiheinen todennus käyttöön Facebookissa
Toinen virhe, joka näyttää olevan virhe, on se, että kun Lewis vastasi viesteihin, joissa Facebooka pyydettiin lopettamaan niiden lähettäminen, hänen vastauksensa lähetettiin hänen Facebook-seinään kaikkien hänen ystäviensä nähtäville. Vahingon loukkaamiseksi ilmoitukset jatkuivat.
Ensimmäinen virhe on monella tapaa huolestuttavampi, koska se näennäisesti tarkoittaa, että Facebook käyttää käyttäjien puhelinnumeroita markkinointitarkoituksiin ilman nimenomaista lupaa. Kuten The Verge huomauttaa, tämä antaa aihetta oikeustoimiin Yhdysvalloissa, jossa puhelinkuluttajansuojalaki kieltää yrityksiä ottamasta sinuun yhteyttä tällä tavalla ilman lupaa.
Tämä ei tarkoita sitä, etteivätkö toisen virheen vaikutukset olisi myös merkittäviä. Twitter-käyttäjä David Comdico onnistui käskemään koko perheensä menemään helvettiin vahingossa vastaamalla ilmoituksiin vihaisena, mikä on selvästi kaukana ihanteellisuudesta.
Tässä vaiheessa näyttää siltä, että puutteet ovat aluekohtaisia. Se ei näytä vaikuttavan keneenkään Isossa-Britanniassa. Lisäksi kun yritän vastata kirjautumiskooditekstiviestiin, tekstiviestit eivät yksinkertaisesti lähetä, joten Facebook-seinälleni ei näy mitään.
LUE SEURAAVA: Kaksivaiheinen todennus selitetty
Merkittävä turkkilainen kirjailija Zeynep Tufekci, joka kritisoi suoraan puutteita, kysyi, oliko ketään EU:ssa koskenut, ja tätä kirjoittaessa kukaan ei ole vastannut väittämään, että he olisivat.
Facebook antoi meille saman lausunnon, jonka se antoi The Vergelle: "Annamme ihmisille hallinnan heidän ilmoituksiinsa, mukaan lukien ne, jotka liittyvät tietoturvaominaisuuksiin, kuten kaksivaiheiseen todentamiseen. Selvitämme tilannetta nähdäksemme, voimmeko tehdä enemmän auttaaksemme ihmisiä hallitsemaan viestintää."
Sosiaalinen verkosto ei selventänyt, oliko automaattinen lähettäminen käyttäjien seinille bugi ja totesi myös, että käyttäjät voivat käyttää kaksivaiheista todennusta ilman puhelinnumeron rekisteröintiä Facebook-mobiilisovelluksen "koodigeneraattorilla".
Katso aiheeseen liittyvä kaksivaiheisen todennuksen ottaminen käyttöön (tai poistaminen käytöstä) Facebookissa Kaksivaiheinen todennus selitetty: Miksi sinun pitäisi ottaa kaksivaiheinen suojaus käyttöönOn vaikea kuvitella, että kumpikaan puutteista olisi Facebookin laskelmia liikkeitä, varsinkin sen jälkeen, kun Mark Zuckerberg teki uuden uudenvuodenlupauksen korjata sosiaalisen verkoston puutteet. Sivuston Civic Engagementin johtaja Samidh Chakrabarti ilmoitti myös äskettäin toimenpiteistä, jotka auttavat palauttamaan käyttäjien luottamuksen sivustoon. Sen sijaan näyttää siltä, että kaksi vikaa ovat yksinkertaisesti törmänneet yhteen pahimmillaan.
Kuitenkin, kunnes Facebook saa lisäselvitystä siitä, kuinka käyttäjät ovat saaneet ilmoituksia puhelinnumeroon, jonka he ovat rekisteröineet kaksivaiheista todennusta varten, jotkut väistämättä kyseenalaistavat, onko kyseessä jälleen yksi esimerkki sosiaalisen verkoston lisääntyvästä epätoivosta käyttäjien sitoutumisen lisäämiseksi.