Paprastai kibernetinio saugumo ekspertai visuomenę ragina niekada nesidalinti savo elektroniniais slaptažodžiais ir niekada jų neįvesti, kai norima naudotis įvairiomis elektroninėmis paslaugomis, išskyrus tuos atvejus, kai įvedamas paslaugos, kuria naudojamasi tuo metu, slaptažodis. Tai yra būdas apsisaugoti nuo vadinamųjų phishing'o atakų, kai apgavystės būdu iš interneto vartotojų išviliojami jų slaptažodžiai ir kita jiems svarbi informacija.
Tačiau „Facebook“ tinkle, paskyrą registruojant su el. pašto adresu, kuris yra išduotas tam tikrų įmonių (pvz., „Yandex“ ar GMX), yra prašoma papildomai „įrodyti adreso tikrumą“ – įvesti tos pašto paskyros slaptažodį „Facebook“ pateiktoje formoje.
Kitų el. pašto tiekėjų – tokių, kaip „Gmail“ – vartotojai šio prašymo nematantys, nes „Google“ naudoja populiarų autorizavimo įrankį „OAuth“, leidžiantį saugiai patikrinti, ar pašto adresas tikras. „Gmail“ vartotojams nereikia papildomai įvesti slaptažodžių, tai padaryti „Facebook“ prašo kai kurių kitų tiekėjų paskyras turinčius vartotojus.
Taip pat išaiškėjo, kad, į pateiktą laukelį įvedęs el. pašto paskyros slaptažodį, vartotojas gali pamatyti trumpam iššokančią lentelę, skelbiančią, kad „Facebook“ „importuoja kontaktinius duomenis“, nors prieš tai vartotojo ir nebuvo paprašyta suteikti prieigą prie jo kontaktinių duomenų. Tiesa, sunku pasakyti, ar programa iš tiesų importuoja kontaktinius duomenis ir naudoja asmenų, su kuriais vartotojas susisiekia per el. pašto paskyrą, adresus. Kai buvo atliktas bandymas – į „Facebook“ draugų paiešką įvesti tie adresai, kurie buvo naujo vartotojo el. pašto kontaktų sąraše – paaiškėjo, kad el. pašto kontaktai į „Facebook“ platformą nepersikėlė. Kita vertus, taip galėjo būti ir todėl, kad tikrinamos paskyros buvo sukurtos vos prieš kelias minutes.
Žurnalistams susisiekus su „Facebook“ atstovu spaudai, jis suskubo informuoti, kad bendrovė tokios praktikos atsisakys. Kai straipsnis buvo publikuotas, tokio autorizavimo būdo jau nebepavyko rasti.
Kibernetinių teisių apsaugos grupės „Electronic Frontier Foundation“ saugumo analitikas Bennettas Cyphersas tai, kad „Facebook“ prašė pateikti el. pašto slaptažodžius, vertina griežtai kritiškai. „Tokia praktika iš esmės niekuo nesiskiria nuo phishing'o atakos“, – sakė ekspertas, ragindamas žmones nevesti slaptažodžio niekur kitur, tik svetainėje, kurioje tą slaptažodį ir susikūrė.
„Prašyti vartotojo duomenų yra labai blogai daugeliu atžvilgiu. „Facebook“ peržengė ribas, šis atvejis yra niekšiškas bandymas apgauti žmones tam, kad jie mainais už vartotojo užregistravimą įkeltų savo elektroninio pašto kontaktų duomenis į socialinį tinklą. Juk net jei ir sutiktumėte feisbukui atskleisti savo kontaktinius duomenis, turbūt niekada neleistumėte disponuoti el. pašto paskyra, slaptažodžiais. Jokia platforma neturėtų prašyti prisijungimo duomenų, o jei jau taip daroma, paslaugas teikiančia įmone reikėtų nepasitikėti. Minėta politika prieštarauja pagrindiniams kibernetinio saugumo principams, paprasčiausiam padorumui ir sveikam protui“, – rašė analitikas.
Saugumo ekspertas ir internetinės paslaugos „Have I Been Pwned“, kuri leidžia pasitikrinti, ar jūsų slaptažodis nebuvo nulaužtas, valdytojas Troy'us Huntas taip pat negailėjo kritikos.
„Tokia „Facebook“ politika, be jokios abejonės, prieštarauja kibernetinio saugumo taisyklėms. El. pašto paskyros prisijungimo duomenimis raginama pasidalyti kitoje platformoje, feisbuke. Nors neabejoju, kad „Facebook“ imtųsi priemonių, kad įvesti slaptažodžiai būtų apsaugoti, vis dėlto, atrodo, minėta procedūra yra tiesiog nereikalinga. Patikrinti pašto adresą galima ir kitais būdais, o aptariama „Facebook“ praktika pratina žmones neatsakingai disponuoti savo duomenimis internete“, – rašė T.Huntas.
Ten, kur turėtų būti įvestas slaptažodis, yra rašoma, kad „Facebook“ slaptažodžių neišsaugo, tačiau patvirtinti arba paneigti šį teiginį įmanoma tik atlikus nepriklausomą tyrimą. Neseniai buvo nustatyta, kad „Facebook“ šimtų milijonų vartotojų slaptažodžius saugo nešifruoto teksto pavidalu, taip įmonė nusižengia svarbiausiems kibernetinio saugumo principams.
Oficialiame pareiškime „Facebook“ atstovas spaudai sakė: „Slaptažodžių „Facebook“ nesaugo. Tik labai nedidelė dalis vartotojų yra prašoma pateikti el. pašto slaptažodį, kai pirmą kartą registruoja „Facebook“ paskyrą. Žmonės taip pat gali rinktis pašto paskyrą patvirtinti specialiu kodu, kuris siunčiamas į jų telefoną, ar nuoroda, kuri išsiunčiama nurodytu el. pašto adresu. Bet pripažįstame, kad nėra gerai tikrinti vartotoją, prašant jo el. pašto slaptažodžio, todėl šios praktikos nebetęsime.“