כשאתם נרשמים לשירות חדש כמו פייסבוק אתם מתבקשים לבחור שם משתמש (או מייל) ואז להמציא סיסמה. השבוע התברר שפייסבוק לא תמיד הסתפקה בזה וביקשה מגולשים להקיש גם את הסיסמה האישית של המייל שלהם, בנוסף לסיסמה לפייסבוק.

בשבוע האחרון פרסם משתמש טוויטר צילום מסך וחשף את השיטה החדשה של הרשת חברתית ומאז היא היא עומדת בפני ביקורת חריפה מצד אנשי אבטחת מידע. הכלל הראשון שמלמדים אותנו על סיסמה הוא לא למסור אותה לאף אחד אחר, ולהקיש אותה רק באתר שאליה הוא שייך.

פייסבוק טענה כי ההודעה לבקשת הסיסמה מופיעה רק עבור מספר קטן של משתמשים, במיוחד למשתמשים חדשים שנרשמו לפייסבוק ממחשבים עם כתובות מייל שלא תומכות ב-OAuth. זהו אמצעי אבטחה סטנדרטי פתוח המשמש את Google, אמזון, טוויטר ופייסבוק, ומאפשר למשתמשים להעניק גישה למידע שלהם מבלי לתת להם את הסיסמה שלהם.

באתר Engadget בדקו את טענת החברה כי היא כבר לא מבקשת סיסמאות - ואכן לא התקבלה הודעה כזאת במהלך פתיחת חשבון חדש. דובר פייסבוק התייחס לנושא ומסר לאתר The Daily Beast כי "אנחנו כבר לא נוהגים כך יותר".

השבוע פורסם, בלי קשר לתגלית ההיא, כי חוקרי אבטחה גילו שני מאגרים של 540 מיליון רשומות עם פרטים של משתמשי פייסבוק, היושבות על שרת אחסון ללא סיסמה, מה שהפך אותם לחשופים ברשת. כאן לא מדובר בסיסמאות, אלא במידע כמו תגובות, לייקים, שמות חשבנות ועוד. זה מידע שרובו חשוף ונגיש ממילא, אבל לא מרוכז בצורה כזו (נסו לאסוף תגובות ולייקים של חבר ידנית, זה בלתי אפשרי). החוקרים מחברת Upguard גילו כי המידע היה שמור בשירות הענן של אמזון, ואפילו לא מוגן.

בחברת האבטחה סיפרו כי שתי החברות שאחראיות לתקלה סירבו להגיב לפניות שלהם. מנגד, בפייסבוק מיהרו לעדכן כי הם יצרו קשר עם אמזון וטיפלו בבעיה. 

הפרסומים הללו מצטרפים להודאה של פייסבוק מלפני כשבועיים, לפיה מאות מיליוני סיסמאות של משתמשים שנשמרו באופן לא מאובטח היו גלויות לעובדי החברה במשך שנים. מפייסבוק נמסר אז כי הנושא טופל, וכי אין עדות לכך שהמידע נוצל לרעה.‎