18 Maret 2019 – Pada lazimnya verifikasi pendaftaran akun dilaksanakan dengan menggunakan suatu kode rahasia atau URL khusus yang diantarlewat email atau ponsel, namun Facebook justru meminta password email terhadap calon penggunanya. Praktik ini pun kemudian dikecam oleh para praktisi keamanan.
Permintaan tersebut terjadi saat Facebook mendeteksi kegiatan pendaftaran yang mencurigakan mirip pengerjaan akun yang dikerjakan melalui VPN atau memakai layanan email tertentu seperti Yandex dan GMX.
Dalam pernyataannya juru bicara Facebook mengemukakan bahwa mereka tidak menyimpan password email penggunanya. Selain itu, di formulir pendaftaran juga masih tersedia pilihan untuk melaksanakan verifikasi dengan mekanisme patokan yang bisa diakses melalui sajian “Need help?”
Dikutip dari Business Insider, Bennett Cyphers yang ialah seorang peneliti keselamatan dari Electronic Frontier Foundation, mengatakan bahwa praktik verifikasi tersebut tidak ubahnya mirip praktik phishing.
Di sisi lain, seperti yang dilaporkan oleh The Daily Beast, konsultan keamanan Jake Williams menyampaikan bahwa lebih baik menghindari Facebook jikalau pengguna dimintai password untuk menciptakan akun baru.
Apa yang dikerjakan oleh Facebook tersebut dikenali pertama kali oleh seorang pengguna Twitter dengan nama akun e-sushi, yang membuatkan gambar screenshot undangan password email melalui salah satu tweetnya.
Hey @facebook, demanding the secret password of the personal email accounts of your users for verification, or any other kind of use, is a HORRIBLE idea from an #infosec point of view. By going down that road, you’re practically fishing for passwords you are not supposed to know! pic.twitter.com/XL2JFk122l
— e-sushi (@originalesushi) March 31, 2019
Pada kesudahannya Facebook memutuskan untuk menghentikan praktik tersebut.
(Image Credit: geralt)