Facebook спрашивал у новых пользователей пароли от электронной почты «для проверки адреса»



    Похоже, Facebook в интернете становится настоящим эталоном дырявости и небезопасных практик. Всего две недели назад все обсуждали, зачем инженеры компании заносят пароли пользователей в логи и хранят их в открытом виде на Github. Сейчас — новый пример удивительного решения. Как выяснилось, у некоторых новых пользователей для подтверждения регистрации Facebook запрашивал пароль от электронной почты, то есть от личного почтового ящика, указанного при регистрации.

    Сложно понять, как вообще кому-то из инженеров пришла в голову такая мысль, и почему никто из коллег не возразил ему. Подобная практика в наше время встречается исключительно редко. Хотя нужно признать, что некоторые сервисы иногда этим грешили. Например, давно почивший на свалке истории MySpace во времена своего расцвета тоже спрашивал у пользователей пароль от электронной почты.

    «Чтобы продолжить использование Facebook, вам необходимо подтвердить свою электронную почту, — говорится в сообщении. — Поскольку вы зарегистрировались с [адрес электронной почты], вы можете сделать это автоматически через своего почтового провайдера», — говорится в сообщении (на скриншоте вверху), где Facebook просит пользователя ввести пароль от почтового ящика.

    «Это за пределами добра и зла, — считает консультант по безопасности Джейк Уильямс. — Они не должны принимать ваш пароль или обрабатывать его в фоновом режиме. Если это требуется для регистрации в Facebook, то вам лучше не регистрироваться».

    В официальном комментарии Facebook заявила, что не хранит пароли от электронной почты пользователей. Она также объявила, что собирается полностью прекратить эту практику: «Мы понимаем, что вариант проверки пароля — не лучший способ проверки почтового ящика, поэтому собираемся прекратить его предлагать», — сказал представитель компании.

    Неизвестно, насколько широко была распространена такая практика, но представители Facebook подчеркнули, что у пользователей сохранялась возможность обойти требование пароля и активировать учётную запись более привычными средствами, такими как «код, отправленный на их телефон или ссылка, отправленная на почту». Впрочем, эти варианты предоставлялись, если пользователь вместо ввода почтового пароля нажимал на ссылку «Нужна помощь?» (Need help?) в левом нижнем углу страницы, что нельзя назвать интуитивно понятной навигацией.

    Судя по всему, Facebook запрашивал пароли от электронной почты у самых «подозрительных» пользователей. Например, если кто-то пытается зарегистрироваться через Tor или VPN, или с нестандартного, одноразового почтового адреса. Впрочем, это совсем не оправдание для подобной практики: «Выбрав такую дорогу, вы практически осуществляете фишинг паролей, которые вы не должны знать!» — пишет пользователь твиттера e-sushi, который первым обратил внимание на некорректные действия Facebook.


    В поле ввода пароля есть ссылка на более подробную информацию, где Facebook обещает не сохранять пароли пользователя. Но учитывая отношение компании к безопасности пользователей, сложно доверять этому утверждению на 100%. В прошлом году компанию словили на том, что она позволяла рекламодателям производить таргетинг пользователей по телефонным номерам, которые люди вводили для двухфакторной аутентификации. А недавно выяснилось, что эти телефонные номера вообще были открыты для общедоступного поиска.

    Как обычно, после поднявшегося скандала компания извинилась и пообещала прекратить такую практику.

    В прошлом месяце, на фоне постоянных скандалов вокруг приватности пользователей, Марк Цукерберг выпустил большой манифест, который описывает новое «видение конфиденциальности», пообещав повсеместно использовать сильное шифрование и передовых инструментов безопасности. Однако с тех пор мало что изменилось. Даже сам Цукерберг признал, что за компанией сложилась неоднозначная репутация: «Честно говоря, в настоящее время у нас нет сильной репутации для создания служб защиты конфиденциальности», — написал он.

    Новые утечки


    В подтверждение этой репутации на днях стало известно о ещё двух утечках конфиденциальных данных пользователей Facebook, которые обнаружены в свободном доступе на облачном хостинге Amazon S3.

    Во-первых, это база на 146 гигабайт, которая содержит более 540 миллионов записей с пользовательскими комментариями, лайками, реакциями, с привязкой к каждому аккаунту. Источником называют компанию Cultura Colectiva.

    Кроме того, в облаке Amazon S3 обнаружен бэкап от интегрированного в социальную сеть приложения At the Pool. База содержит следующие поля: fk_user_id, fb_user, fb_friends, fb_likes, fb_music, fb_movies, fb_books, fb_photos, fb_events, fb_groups, fb+checkins, fb_interests, password. Судя по всему, в поле password хранятся пароли пользователей к самому приложению At the Pool, а не к социальной сети, но многие пользователи используют одинаковые пароли (или их модификации) на разных сайтах.


    Отредактированная версия скриншота с базой At the Pool (увеличенная версия картинки открывается по нажатию)

    Хотя база At the Pool не такая большая, как Cultura Colectiva, но содержит 22 000 паролей в текстовом виде. Кстати, сама компания-разработчик At the Pool прекратила работу в 2014 году (последняя архивная копия их сайта без редиректа датирована 17 мая 2014 года). Сейчас сайт материнской компании возвращает сообщение об ошибке 404. Но это небольшое утешение для конечных пользователей, чьи имена, пароли, адреса электронной почты, идентификаторы Facebook и другие детали лежали в открытом доступе на S3 в течение неизвестного периода времени.


    Данные в открытом наборе данных Cultura Colectiva

    Обе базы содержат данные о пользователях Facebook с описанием их интересов, отношений и взаимодействия, которые были доступны сторонним разработчикам. После многочисленных скандалов с утечками данных чрез сторонние приложения Facebook предпринял усилия, чтобы ограничить их доступ. Но, как показывают эти утечки, джинна трудно загнать обратно в бутылку. Данные о пользователях разошлись далеко за пределами сферы, которую Facebook способен сегодня контролировать.


    Отредактированный скриншот из базы Cultura Colectiva

    Утечку Cultura Colectiva первыми обнаружили специалисты группы UpGuard Cyber Risk (компания UpGuard). Они говорят, что уведомили Amazon Web Services о ситуации 28 января. На следующий день AWS прислала ответ, что владелец бакета с базой уведомлён о том, что его данные открыты для всеобщего доступа. Прошло три недели, но ситуация не изменилась. 21 февраля UpGuard снова отправила письмо в Amazon Web Services. Та снова ответила в тот же день, заявив, что они изучат дальнейшие потенциальные способы справиться с ситуацией.

    И только утром 3 апреля 2019 года, когда журналист Bloomberg связался с Facebook для комментариев по поводу этой ситуации, резервную копию базы данных в бакете S3 под названием “cc-datalake”, наконец-то, убрали из открытого доступа.

    Эти две ситуации говорят о неотъемлемой проблеме массового сбора информации: данные никуда не исчезают сами по себе. О старом архиве или резервной копии могут забыть или просто не обращать на неё внимания. Хотя это данные сторонних разработчиков, но они не существовали бы без Facebook, и они уже не находятся под контролем Facebook. В каждом случае платформа облегчала сбор данных о физических лицах и их передачу третьим лицам, которые отвечали за безопасность.

    Таким образом, поверхность защиты данных пользователей Facebook огромна и неоднородна, а ответственность за её защиту лежит на миллионах разработчиков приложений на этой платформе.

    Другими словами, всё что вы делаете или сохраняете на Facebook, рано или поздно окажется в открытом доступе и/или будет использовано против вас. Впрочем, это относится ко всем социальным сетям.
    Поделиться публикацией

    Комментарии 60

      +5

      На линкедине тоже был трюк: пользователю предлагали ввести пароль от ящика, чтобы проверить доступ, а заодно выгрести контакты и переписку.

        +3
        А потом, если ты не захотел даже добавлять свои контакты на linkedin, потом высылали каждый раз письмо — «Ваш контакт Х из почты зарегистрировался на LN, может все таки добавите его?»
          +2
          Ха! Они такую хрень рассылали и НЕЗАРЕГАННЫМ контактам. Типа — ваш знакомый зарегался, а давайте тоже. И так много раз даже для одного контакта.
            +8
            Причем не просто «ваш знакомый зарегался, и ты тоже давай», а «ваш знакомый зарегался и приглашает вас тоже». Хотя тот самый знакомый никого никуда не приглашал, разумеется.

            О linkedin у меня мнение, как об одном из самых гнусных рассадников спама. Одно время чуть ли не каждый день от них какая-нибудь гадость сваливалась, хотя я их сайт хорошо если пару раз открывал и уж конечно же там не регистрировался.
              0
              Как не приглашал, если в описании они чёрным по белому писали, что нам нужен ваш пароль, чтобы в т.ч. пригласить ваших друзей из телефонной книги?
                0
                Даже если так, это не дает линкедину права засирать почтовый ящик приглашениями в течение нескольких лет.
                  0
                  Это уже мелкий шрифт надо читать, на что конкретно давали разрешения. Но просто разрешение приглашать они довольно заметно спрашивают.
                  Я ему текстовичок с теми кто точно зареган подсовывал.
                  0
                  Может, позже стал спрашивать?
                  Мне их спам валился от людей, с которыми переписываличь по работе и они были не в курсе что от их имени что-то рассылалось, причём, не один раз (или все слепые).
                  0
                  Я до сих пор это получаю от незнакомых мне людей, с которыми переписывался хотя бы один раз. Бывает, что до 20-30 таким писем в день приходит.
                  Даже писал на linkedin пару раз на эту тему. На что получил забавный ответ в стиле «Ничего делать не будем. Это твоя личная проблема или проблема твоего провайдера.»
                0

                Он меня года 3 доставал письмами. Еле избавился

                  0
                  Однако, за 3 года не настроить фильтр в почтовом сервисе? Всё-таки он письма шлёт не с рандомных адресов и даже тема письма стабильная.
                    0

                    Он как раз и заставил меня наконец настроить фильтры, разобраться в принципе их работы.до этого вообще все письма в одну кучу шли. Оказалось очень удобная штука.просто раньше как-то не было такой необходимости. Еденичные спам рассылки проблем не доставляли

                0

                Такой трюк все ещё есть, буквально сегодня создавал throwaway аккаунт.

                  +1
                  LinkedIn до сих пор просит пароль от почты.
                  Пример
                    0
                    разве там не идёт авторизация через сервисы почтовиков?
                      0
                      Видимо зависит от почтового сервиса. Если Gmail он использует API доступа и пароль вводишь только в самой почте, которая спрашивает дать ли доступ такому-то сайту к списку твоих контактов или нет. Сервис пароль от почты не получает.
                      А если это какая-то провайдерская почта, у которой нет API а только POP3/IMAP доступ, что делать? Кстати, а что делать в случае нестандартных настроек почтового сервера? Сказать «ай спамер, не буду тебя регить». Только пароль выпросить, подключиться и просмотреть все письма отсканировав заголовки и е-мейлы, сопоставив со своей базой и запомнив на будущее если кто с такими адресами зарегается, то предложить им тебя.
                    +9
                    Позволю себе по этому поводу процитировать Леонида Каганова:

                    Все-таки мир не видывал еще более убогой и бесстыдной соцсети, чем Фейсбук. Я даже не говорю про «наказания на 30 дней», которым подвергаются люди самых разных политических позиций…

                    … Я как-то имел неосторожность поставить мобильный клиент Фейсбука…

                    … Оказалось, что поганая софтина успела выкрасть всю мою записную книжку и слить ее Фейсбуку. Но ладно, сделала бы это тихо как делают все остальные. Так нет же. Теперь с завидной регулярностью сайт Фейсбука выборочно показывает мне самые разные контакты из моей книжки и предлагает зафрендить этих людей. Но вовсе не потому, что они только что завели себе аккаунт, Фейсбук обнаружил знакомый телефон или емайл и хочет помочь нам найти друг друга — в этом была бы какая-то логика. Но Фейсбук выдергивает имена произвольно и предлагает зафрендить их «на будущее» — вдруг они станут пользователями Фейсбука?

                    Что выглядит полным адом: Фейсбук выкрал мою записную книжку и, сопя, внаглую листает ее на моих глазах, предлагая мне зафрендить, например, умершего Олега Малахова в ожидании, что тот рано или поздно заведет логин.
                      +1
                      Если Леонид Каганов использует Whatsapp который был куплен Facebook, то записную книжку слил именно он, предварительно спросив разрешение на доступ к телефонной книге.

                      Вообще, имхо, подобные всплески возмущения выглядят до крайности наивно. Facebook, Google, etc не благотворительные компании. Перефразируя некого киногероя — when you think you use them, they use you.
                        0

                        Когда Вацап перешёл к Фейсбуку, то первые, вроде, 30 дней была галочка в настройках хочу ли я отправлять данные в Фейсбук. Правда сомневаюсь что она вообще работала :)

                    +3
                    Да они всю жизнь так делали, друзей типа пригласим. Печально это, больше комментариев нету.
                      –1

                      Подтверждаю, лет 5-6 назад FB спросил у меня пароль от ящика при регистрации и выгреб переписку.

                      +1
                      Вроде тот же fb на своей заре настойчиво предлагал порыться в твоём почтовом ящике кто ещё может быть у них зарегистрирован.
                        +2
                        Блин, который раз убеждаюсь, что соцсети это Зло. Именно так, С Большой Буквы. Пользуюсь только тёплой ламповой жешешечкой и макспарком. Ну гитхаб разумеется. Ни на мордакниге, ни на вк, ни тем более в одноглазниках, не к ночи будь помянуты, меня нет и не будет. Мало того что народ там страдает фигнёй и других к тому же провоцирует, так теперь эта хохмочка с паролями вообще уже за гранью Добра и Зла. Нет уж, чем меньше о тебе знают кому не надо, тем лучше.
                          +3
                          Не соцсети зло — а то во что их превратили.
                          Из идеи облегчения коммуникации между людьми в медиа-рекламный портал воздействующий на пользователей
                            0
                            Так же стоит отметить, то что является отличным делом — когда вы зарабатывайте огромные деньги и инвестируйте их в реально отличные и новые технологии, но все это за счёт безудержной, лавинообразно насаждаемой рекламки всякого рода сомнительных технологий. Имхо.
                              +5
                              Насчёт соцсетей меня совершенно убил такой случай лет 8 назад. Об этом по ящику говорили. Пацаны пошли на полигон. Подобрали там футляр из под отстрелянной Мухи. И пошли домой. На беду идти надо было через железную дорогу, и тут как раз приближался поезд. Решили приколоться. Один забрался на насыпь и стал целиться из Мухи в локомотив, а двое других его фоткали. Пришли домой и тут же выложили фотки на свои странички в ВК с комментариями типа «Прикиньте как круто, машинист срал кирпичами». На следующий день за всеми тремя пришли. Вот так… У ментов не жизнь а малина. Можно не работать. Знай смотри соцсети и принимай идиотов пачками… Нет, мы в детстве тоже были далеко не ангелы. Но никому из нас в голову не могло прийти после своих подвигов добровольно расклеивать по городу разоблачающие фотографии со своим домашним телефоном! Сейчас же это в порядке вещей. Пусть за мной придут менты, пусть меня посадят, пусть я с ранней юности испорчу себе репутацию, но я хочу чтобы мне поставили стопятсот лайков! И это навязывают именно соцсети! И именно воспитание идиота я считаю одним из самых вредных их последствий. Не знаю, задумывалось ли такое при их создании, но получилось именно так…

                              А в общем и целом Вы конечно абсолютно правы. Молотком можно и гвоздь забить и голову пробить. Выбирает человек. Помню когда лет 7 назад начали массово выпиливать flash, одним из аргументов было что быдлокодеры забили всю сеть своими говнобаннерами. В результате ходить по интернету стало невозможно. Ну хорошо, выпилили, перешли на джаваскрипт. И что, лучше стало? Без блокировщика рекламы вообще не зайти никуда. А вообще увы, интернет это слепок всего нашего человечества. Если 95% трафика это порнуха, а 95% писем спам, это не интернет такой, это мы такие. Если сеть превращают в рекламную помойку, это мы делаем, а не рептилоиды с Нибиру. Если общаясь в соцсетях человек превращается в дебила, это его личный выбор. Увы…
                                +3
                                И это навязывают именно соцсети!

                                это не интернет такой, это мы такие

                                У Вас логика отклеилась.
                                  0
                                  У Вас логика отклеилась.

                                  Я бы с Вами полностью согласился, если бы интернет контролировали рептилоиды с Нибиру, махатмы из Шамбалы и прочие зелёные черти и розовые слоны.
                                    0
                                    Так в том и дело, что соцсети ни при чем — это все только мы.
                                    Мы хвастаемся другим разной ерундой средствами актуального технического прогресса.
                                    Сначала это просто свидетельские воспоминания Васька, стоявшего рядом.
                                    Затем унылые фотки с какого-нибудь Siemens MC60 в кругу друзей.
                                    Вот теперь стало проще кинуть ссылку на фото в соцсети.

                                    Соцсети никого ни к чему не принуждают. Они лишь правильно присоседились к нашим естественным желаниям выпендриться.
                                      0
                                      Не так всё просто. Соцсети задают некие правила игры. Те же лайки например. Нет, социометрия штука нужная и важная, я не спорю. У самого есть интересные идеи по этому поводу, но увы, проверить их можно только на живой и популярной соцсети. Но то как она реализована в существующих соцсетях, поощряет скажем так, не самые лучшие качества. Уж не знаю, было ли изначально так задумано или просто сделали как проще. Но получилось как получилось. Да, разумеется всё это мы сами. Но мы сами придумываем определенные игры по определенным правилам. Поощряющие нас развиваться в определённом направлении. Та же проблема курицы и яйца в чистом виде.
                                  +1

                                  Выскажу крамольную здесь мысль: мне кажется, это фундаментальный недостаток капитализма и человеческой природы. Люди и компании стремятся к максимизации прибыли. Если компания не расширяется до бесконечности, выживая всех конкурентов и выжимая последнюю копеечку из каждого пользователя (сюда же относится цена по запросу: с бедного копеечку, с богатого миллион — все за один и тот же продукт), то она проиграет борьбу более шустрым и менее принципиальным конкурентам.


                                  Вспоминается, например, Microsoft, который душил любую конкуренцию на корню, поскольку мог бомбить конкурентов просто сбрасывая на голову контейнеры с деньгами. Какие изощренные пасквили писал Microsoft про Linux! Но вот получилось, что если компанию конкурента можно купить и убить, то с Open Source так не получается — покупать нечего. Последнее, что вспоминается — атака на Linux через третье лицо — SCO (кстати, это очень интересная история с гораздо большим количеством смыслов, чем на поверхности).


                                  Зато теперь Microsoft — лучший друг Linux. Не смогли убить в зародыше, теперь попытаемся возглавить.


                                  Или Google, который казался каким-то глобальным борцом за все хорошее против всего плохого. И во что он превратился сейчас?..


                                  И любая коммерческая соц. сеть будет стремится к тому же самому. Увы, рано или поздно даже Хабр до этого дойдет, так как тоже является коммерческой организацией с единственной целью: максимизация прибыли.

                                    0
                                    Самое смешное, что история идёт по спирали: на любое действие появляется противодействие, на которое в свою очередь появляется другое противодействие.

                                    В своё время Дуров бросил ВК и создал Телеграм. Есть подозрение, что если Хабр и «споганится», то появится его аналог, который будет лучше… Первое время по крайней мере.
                                      0
                                      Есть подозрение, что если Хабр и «споганится», то появится его аналог, который будет лучше… Первое время по крайней мере

                                      Так было ведь уже как минимум один раз. Застал эти деньки.
                                        0
                                        Прошу прощения, нельзя немного подробнее? Я тут года три всего. До этого иногда заглядывал, но особо не увлекался.
                                          0
                                          Можно…
                                          Если говорить кратко, то есть такой общий «феномен» — «раньше было лучше» (с).
                                          Т.е. даже года через три после возникновения ресурса уже шла, некогда популярная фраза, «хабр уже не торт».
                                          Были разные вариации потрясений, как из-за действий гос-ва, так и «внутреннего рода» (в том числе и от владельцев).
                                          Были и ковровые потери участников. Были «голосования ногами». Были этапы возникновения «клонов хабра»… сохабр — пожалуй единственный из них на сегодня в живом виде (ибо полезный).
                                      +1
                                      с Open Source так не получается — покупать нечего

                                      С nginx же получилось.

                                        0
                                        Сысоев теперь томится в подвалах F5 или в модели разработки nginx ничего не поменялось и не собирается?
                                        0
                                        Выскажу крамольную здесь мысль: мне кажется, это фундаментальный недостаток капитализма и человеческой природы.

                                        Почему крамольную? Мысль абсолютно состоятельная. Если тут есть сторонники «невидимой руки», предлагаю простой эксперимент. Через 2-3 недели как раз время для него настанет. Вскопайте на даче грядку. Как следует. Хорошенько удобрите. И посадите картошку. А потом забудьте про эту грядку до августа. И не подходите к ней. Пусть выживут сильнейшие. А в августе посмотрите, какой будет урожай :))) Увы, всё хорошее приходится холить и лелеять.
                                        Насчет любимого хабра — трудно сказать. С одной стороны да, ибо все пущенное на максимизацию прибыли развивается только в одном направлении. С другой — хабр всё-таки штука очень и очень нишевая. И думается не скурвится до тех пор, пока существует сама эта ниша.
                                  +3
                                  Потому что после любого жуткого фэйла достаточно лишь сказать «извините» и продолжить выдумывать еще более жуткий фэйл.
                                    0

                                    Лидеры не выдумывают фейлы специально, это удел любителей. У лидеров фейлы случаются сами собой ))

                                      0
                                      В погоне за лучшей отчётностей и неповоротливости крупных компаний.
                                        0
                                        А почему вы считаете это фейлом? Это для «правильных программистов» это попахивает, а для бизнеса это вполне нормальный ход. В сети полно неграмотных пользователей, которые бездумно отдали пароли фейсбуку, который на основе писем усилил соц граф, следовательно мог лучше таргетировать рекламу => больше $.
                                      0
                                      Да, так пришлось отложить регистрацию с использованием временного ящика. У него в принципе то пароля нету
                                        0
                                        Скорее всего именно от регистрации с временными ящиками они и пытаются таким образом защищаться.
                                        0

                                        Не вижу причин не регаться на FB. Там можно много инфы собрать и при личном знакомстве с людьми, они более охотно готовы обменяться аккаунтами на фб чем номером сотового телефона. Почему-то первое воспронимается как нечто публичное, которое можно раздавать всем, в то время как номер телефона является чем-то личным и сокровенным.


                                        Но,! конечно!, свой аккаунт держу без фоток и прочих идентификаторов из реального мира.


                                        Сейчас, правда, с фейковыми акками жесче стало, но то, что было зарегано в начале 2000х пока работает

                                          +5
                                          Всегда найдется «добрый друг», который выложит фотку и укажет что это Вы на фотке.
                                            +2
                                            В настройках приватности можно включить собственную премодерацию таких указаний на фотках. Тоже держу аккаунты без фоток.
                                              0
                                              Премодерация работает только на публику, а внутри фейсбука всеравно остаётся пометка… один раз отметил, ладно, ошибся сказал не я это, но после десятого раза совпадающее лицо это будет уже подозрительно и даже если отказываете в метке с высокой вероятностью это будете именно вы. И это только если смотреть на метки, а если учесть другие коррелирующие факторы… ваши идентификаторы телефонов часто светятся с одной и той же точкой доступа, ландшафт точек доступа совпадает, не говоря уже про геотеги. Достаточно сделать лишь одну ошибку. Как сапёр — ошибается лишь один раз в жизни.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            +2
                                            Вы-ж осознаете, я надеюсь, что хабр — тоже социальная сеть в определенном смысле и вы в ней?
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            del. не в ту ветку
                                              0
                                              Ладно бы фейсбук и прочие соцсети. Нет акаунтов, не собираюсь заводить, и ладно с ними.
                                              Я недоумеваю от общей безалаберности в вопросах информационной безопасности в штатах в целом (второй год тут живу, до этого — всю жизнь — в Москве).

                                              Налоги делал месяц назад в TurboTax.
                                              Логинюсь в турботакс, начинаю заполнять имя-отчество и пр. В числе прочего надо подать информацию о своих доходах по банковским счетам, инвестициям и пр.

                                              Турботакс предлагает — «выберите ваш банк вот тут из списка, дайте нам ваш логин-пароль для входа в банк-онлайн, а мы залогинимся и вытащим все эти сложные цифры и подставим в вашу налоговую анкету автоматически».

                                              Или есть разные сервисы управлениями инвестициями-счетами.
                                              Я, например, пробовал Betterment.
                                              Они тоже предлагают — «выберите ваши банки, дайте нам логины-пароли, мы будем заглядывать туда, смотреть сколько у вас денег на разных счетах, а потом в удобном виде, в одном месте, покажем всю сводку в нашем интерфейсе».

                                              Я — не стал им предоставлять мои логины-пароли к моим банковским счетам. Обойдусь без их услуг.
                                              Но ведь это массовые сервисы. Многи пользуются, всё законно.

                                              В своё время, пребывая в охренении от увиденного, я погуглил на эту тему. Народ особо не парится. Иногда спрашивают где-нибудь на quora, и ответы типа «не волнуйтесь, всё безопасно».

                                              Кто-нибудь знаком с этой кухней изнутри? Почему это вообще считается нормальным?
                                                +1
                                                Очень интересно. А у банковского сервиса разве нет 2FA? Или у банков с этими компаниями доверительные отношения и там второй фактор отключают?
                                                  0
                                                  У меня были/есть счета с онлайн-доступом в Wells Fargo, Citi, Chase, Ally, Betterment. Это не считая, например, доступа к своему провайдеру 401k.
                                                  Везде доступ просто по логину-паролю.
                                                    –1
                                                    В российских банках тоже как правило 2ФА по дефолту отключена, и нигде на видном месте нет совета ее включить. И вообще мало кто в инет-банк с десктопа ходит, у всех приложения на телефоне.
                                                      0
                                                      Скрин из лички — послание людям будущего

                                                      image
                                                        0
                                                        А у кого она отключена по дефолту?
                                                  0
                                                  Помнится у фейсбука это уже было, году в 10-м.
                                                    0
                                                    Да, бесплатные социальные сети — они такие. И Фейсбук не является исключением.

                                                    Функционирование социальной сети требует немалых расходов; вспоминается вопрос из хорошего старого фильма: кто оплачивает весь этот банкет? Есть два основных варианта: или платят пользователи, или платят рекламодатели; второе означает, что социальная сеть продаёт рекламодателям приватность пользователей. Вероятно, возможен ещё третий вариант — социальная сеть «только для своих»: например, только для выпускников одного университета, или с интерфейсом только на языке малочисленного народа; но такие социальные сети спроектированы оставаться маленькими и не становиться общедоступными. Да, бывает, что выдающийся программист создал и развил некий проект, а затем продал его и на часть вырученных денег финансирует другой свой проект; я знаю одну такую операционную систему и один такой мессенджер (их, вероятно, знают все), но подобную социальную сеть я не знаю.

                                                    Я уважаю выбор людей, отсутствующих в бесплатных социальных сетях, но это трудный выбор. Такого человека многие считают асоциальным; он подвергается давлению (а порой и остракизму) со стороны окружающих: знакомых, потенциальных работодателей и так далее.

                                                    ЕМНИП, Уинстон Чёрчилль сказал: «демократия — очень плохая форма государственного правления, но все остальные ещё хуже». Я примерно такого же мнения о Фейсбуке — другие социальные сети ещё хуже. В частности, любая социальная сеть часто посылает пользователям письма, но вроде бы только Фейсбук предоставляет пользователям возможность избежать перехвата этих писем посторонними; насколько мне известно, другие социальные сети этого не умеют.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.