Facebooks sikkerhetssjef, Alex Stamos, har kunngjort at en feil med tofaktorautentiseringen som betydde at noen brukere ble sendt varsler via tekstmelding var en feil.
I et blogginnlegg sa han "Det siste vi ønsker er at folk skal unngå nyttige sikkerhetsfunksjoner fordi de frykter at de vil motta urelaterte varsler. Det var ikke vår intensjon å sende ikke-sikkerhetsrelaterte SMS-varsler til disse telefonnumrene, og jeg beklager eventuelle ulemper disse meldingene kan ha forårsaket.»
Noen brukere som opplevde feilen oppdaget også at når de sendte svar på varslene og ba dem om å stoppe, ble meldingene deres lagt ut på Facebook-veggene deres slik at alle kunne se. I følge Stamos var det sosiale nettverkets oppførsel i disse tilfellene ikke en feil, men snarere funksjonalitet brukerne rett og slett ikke var klar over.
"I årevis, før smarttelefoner ble allestedsnærværende, støttet vi innlegg på Facebook via tekstmelding, men denne funksjonen er mindre nyttig i disse dager. Som et resultat jobber vi med å avvikle denne funksjonaliteten snart.»
Denne unnskyldningen høres fortsatt litt fishy for meg, siden Facebooks støttesider sier at du må sette opp Facebook-tekster for å dra nytte av denne funksjonaliteten. Som vi nevnte i den originale historien nedenfor, sa Gabriel Lewis, programmereren som fremhevet feilene eksplisitt at han aldri hadde registrert seg for tekstmeldinger.
Når det er sagt, er telefonnummeret som Lewis mottok varslene fra (32665) det samme nummeret som Facebook bruker for tekstmeldingsfunksjonene, så hvem vet. Moralen i historien er at hvis du ikke vil at noe skal vises på veggen din, ikke del det med Facebook ved et uhell.
Originalhistorien fortsetter nedenfor:
Facebook er under gransking for to betydelige feil i sin håndtering av tofaktorautentisering.
Tofaktorautentisering, eller 2FA, brukes for å legge til et ekstra lag med sikkerhet til nettkontoer. Når du logger på med brukernavn og passord, genereres en annen unik kode, ofte sendt via SMS, for å hindre andre fra å få tilgang til en konto.
Som rapportert av The Verge la den amerikanske programvareingeniøren Gabriel Lewis tidligere denne uken at Facebook sendte tekstvarsler til et telefonnummer han hadde registrert kun for å motta disse påloggingskodene. Betydelig nok hadde han aldri valgt å aktivere tekstmeldingsvarsler.
LES NESTE: Slik aktiverer du tofaktorautentisering på Facebook
Den andre feilen, som ser ut til å være en feil, er at da Lewis svarte på tekstene der han ba Facebook om å slutte å sende dem, ble svarene hans lagt ut på Facebook-veggen hans slik at alle vennene hans kunne se. For å legge fornærmelse til skade, fortsatte varslingene.
Den første feilen er på mange måter mer problematisk, fordi det tilsynelatende betyr at Facebook bruker brukernes telefonnumre til markedsføringsformål uten eksplisitt tillatelse. Som The Verge påpeker gir dette grunnlag for rettslige skritt i USA, der Telephone Consumer Protection Act forbyr selskaper å kontakte deg på denne måten uten samtykke.
Det er ikke å si at implikasjonene av den andre feilen ikke også er betydelige. Twitter-bruker David Comdico klarte å fortelle hele familien om å gå til helvete utilsiktet ved å svare på varslene i sinne, noe som åpenbart er langt fra ideelt.
På dette stadiet ser det ut til at feilene er regionspesifikke. Det ser ikke ut til å påvirke noen i Storbritannia. Dessuten, når jeg prøver å svare på en påloggingskode-SMS, blir tekstmeldingene rett og slett ikke sendt, så ingenting vises på Facebook-veggen min.
LES NESTE: Tofaktorautentisering forklart
Den fremtredende tyrkiske forfatteren Zeynep Tufekci, som var åpenhjertig i sin kritikk av feilene, spurte om noen i EU hadde blitt berørt, og i skrivende stund har ingen svart for å si at de har blitt berørt.
Facebook ga oss den samme uttalelsen som den ga til The Verge: «Vi gir folk kontroll over varslene deres, inkludert de som er relatert til sikkerhetsfunksjoner som tofaktorautentisering. Vi ser på denne situasjonen for å se om det er mer vi kan gjøre for å hjelpe folk med å administrere kommunikasjonen sin.»
Det sosiale nettverket avklarte ikke om det automatiske innlegget på brukernes vegger var en feil, og det uttalte også at brukere kan bruke tofaktorautentisering uten å registrere et telefonnummer ved å bruke "kodegeneratoren" på Facebook-mobilappen.
Se relatert Hvordan aktivere (eller deaktivere) tofaktorautentisering på Facebook Tofaktorautentisering forklart: Hvorfor du bør aktivere totrinnssikkerhetDet er vanskelig å forestille seg at noen av feilene er kalkulerte trekk fra Facebooks side, spesielt etter at Mark Zuckerberg tok et nytt nyttårsforsett om å fikse det sosiale nettverkets feil. Nettstedets leder for Civic Engagement, Samidh Chakrabarti, kunngjorde også nylig tiltak for å hjelpe gjenoppbygge brukernes tillit til nettstedet. I stedet ser det ut som om to feil rett og slett har kommet sammen på de verste måter.
Men inntil det er ytterligere avklaring fra Facebook om hvordan brukere kom til å motta varsler via telefonnummeret de har registrert for tofaktorautentisering, vil noen uunngåelig stille spørsmål ved om det er nok et eksempel på det sosiale nettverkets økende desperasjon etter å drive brukerengasjement.