Ang Chief Security Officer ng Facebook, Alex Stamos, ay nag-anunsyo na ang isang depekto sa dalawang-factor na pagpapatotoo nito na nangangahulugang ang ilang mga gumagamit ay nagpadala ng mga abiso sa pamamagitan ng text message ay isang bug.
Sa isang post sa blog, sinabi niya "Ang huling bagay na gusto namin ay para sa mga tao na maiwasan ang mga kapaki-pakinabang na tampok sa seguridad dahil natatakot sila na makatanggap sila ng hindi nauugnay na mga abiso. Hindi namin intensyon na magpadala ng mga SMS na notification na hindi nauugnay sa seguridad sa mga numero ng teleponong ito, at ikinalulungkot ko ang anumang abala na maaaring idulot ng mga mensaheng ito."
Natuklasan din ng ilang user na nakaranas ng bug na kapag nagpadala sila ng mga tugon sa mga notification na humihiling sa kanila na huminto, ang kanilang mga mensahe ay nai-post sa kanilang mga Facebook wall para makita ng lahat. Ayon kay Stamos, sa mga pagkakataong ito, ang pag-uugali ng social network ay hindi isang depekto, ngunit sa halip ay ang pag-andar na hindi alam ng mga gumagamit.
"Sa loob ng maraming taon, bago ang ubiquity ng mga smartphone, sinusuportahan namin ang pag-post sa Facebook sa pamamagitan ng text message, ngunit ang tampok na ito ay hindi gaanong kapaki-pakinabang sa mga araw na ito. Bilang resulta, nagsusumikap kaming ihinto ang pagpapaandar na ito sa lalong madaling panahon."
Ang palusot na ito ay tila hindi maganda sa akin, dahil ang mga pahina ng suporta ng Facebook ay nagsasabi na kailangan mong mag-set up ng mga teksto sa Facebook upang samantalahin ang pagpapaandar na ito. Tulad ng nabanggit namin sa orihinal na kuwento sa ibaba, si Gabriel Lewis, ang programmer na nag-highlight ng mga pagkakamali ay tahasang sinabi na hindi siya kailanman nag-sign up para sa text messaging.
Sa pagsasabing, ang numero ng telepono kung saan natanggap ni Lewis ang mga abiso (32665) ay ang parehong numerong ginagamit ng Facebook para sa mga feature ng text message, kaya sino ang nakakaalam. Ang moral ng kwento ay kung ayaw mong may lumabas sa iyong wall, huwag mo itong ibahagi sa Facebook nang hindi sinasadya.
Ang orihinal na kuwento ay nagpapatuloy sa ibaba:
Ang Facebook ay nasa ilalim ng masusing pagsisiyasat para sa dalawang makabuluhang mga depekto sa paghawak nito ng two-factor authentication.
Ang two-factor authentication, o 2FA, ay ginagamit upang magdagdag ng karagdagang layer ng seguridad sa mga online na account. Kapag nag-log in ka gamit ang isang username at password, isang segundo, natatanging code ay nabuo, madalas na ipinadala sa pamamagitan ng SMS, upang pigilan ang sinuman sa pag-access ng isang account.
Tulad ng iniulat ng The Verge, napansin ng inhinyero ng software ng US na si Gabriel Lewis mas maaga sa linggong ito na ang Facebook ay nagpapadala ng mga text notification sa isang numero ng telepono na nairehistro niya lamang para sa pagtanggap ng mga login code na ito. Kapansin-pansin, hindi niya kailanman piniling paganahin ang mga notification sa text message.
BASAHIN SUSUNOD: Paano paganahin ang two-factor authentication sa Facebook
Ang pangalawang depekto, na tila isang bug, ay nang sumagot si Lewis sa mga text na humihiling sa Facebook na ihinto ang pagpapadala sa kanila, ang kanyang mga tugon ay nai-post sa kanyang Facebook wall para makita ng lahat ng kanyang mga kaibigan. Upang magdagdag ng insulto sa pinsala, nagpatuloy ang mga notification.
Ang unang kapintasan ay, sa maraming paraan, mas nakakabagabag, dahil ito ay tila nangangahulugan na ang Facebook ay gumagamit ng mga numero ng telepono ng mga user para sa mga layunin ng marketing nang walang tahasang pahintulot. Gaya ng itinuturo ng The Verge, nagbibigay ito ng ground para sa legal na aksyon sa US, kung saan ipinagbabawal ng Telephone Consumer Protection Act ang mga kumpanya na makipag-ugnayan sa iyo sa ganitong paraan nang walang pahintulot.
Iyon ay hindi upang sabihin na ang mga implikasyon ng pangalawang kapintasan ay hindi rin makabuluhan. Nagawa ng Twitter user na si David Comdico na sabihin sa lahat ng kanyang pamilya na pumunta sa impiyerno nang hindi sinasadya sa pamamagitan ng pagtugon sa mga abiso sa galit, na halatang malayo sa perpekto.
Sa yugtong ito, lumilitaw na ang mga bahid ay partikular sa rehiyon. Mukhang hindi ito nakakaapekto sa sinuman sa UK. Higit pa rito, kapag sinubukan kong tumugon sa isang SMS sa pag-login code, ang mga text message ay hindi naipadala, kaya walang lumalabas sa aking Facebook wall.
BASAHIN SUSUNOD: Ipinaliwanag ang two-factor authentication
Ang kilalang Turkish na manunulat na si Zeynep Tufekci, na walang pigil sa pagsasalita sa kanyang pagpuna sa mga bahid, ay nagtanong kung sinuman sa EU ang naapektuhan, at sa oras ng pagsulat, walang tumugon upang sabihin na mayroon sila.
Ibinigay sa amin ng Facebook ang parehong pahayag na ibinigay nito sa The Verge: "Binibigyan namin ang mga tao ng kontrol sa kanilang mga abiso, kabilang ang mga nauugnay sa mga tampok ng seguridad tulad ng two-factor na pagpapatotoo. Tinitingnan namin ang sitwasyong ito para makita kung marami pa kaming magagawa para matulungan ang mga tao na pamahalaan ang kanilang mga komunikasyon."
Hindi nilinaw ng social network kung ang awtomatikong pag-post sa mga wall ng mga user ay isang bug at sinabi rin nito na ang mga user ay maaaring gumamit ng two-factor authentication nang hindi nagrerehistro ng numero ng telepono gamit ang "code generator" sa Facebook mobile app.
Tingnan ang kaugnay na Paano I-enable (o I-disable) ang Two-Factor Authentication sa Facebook Ipinaliwanag ang Two-Factor Authentication: Bakit dapat mong paganahin ang two-step na seguridadMahirap isipin na ang alinman sa mga bahid ay kinakalkula na mga galaw sa bahagi ng Facebook, lalo na pagkatapos na gawin ni Mark Zuckerberg ang bagong resolusyon ng Bagong Taon upang ayusin ang mga bahid ng social network. Ang pinuno ng Civic Engagement ng site, si Samidh Chakrabarti, ay nag-anunsyo kamakailan ng mga hakbang upang matulungang buuin muli ang tiwala ng mga user sa site. Sa halip, mukhang nagtagpo lang ang dalawang bug sa pinakamasamang paraan.
Gayunpaman, hanggang sa magkaroon ng karagdagang paglilinaw mula sa Facebook kung paano nakatanggap ng mga notification ang mga user sa pamamagitan ng numero ng telepono na kanilang inirehistro para sa two-factor authentication, tiyak na magtatanong ang ilan kung ito ay isa pang halimbawa ng tumataas na desperasyon ng social network upang himukin ang pakikipag-ugnayan ng user.