Facebook podpora strankam omogočen račun hack

Skupina za podporo strankam na Facebooku bo pomagala nekomu vdreti v vaš račun.

Uporabnik Reddit SquidWhale trdi, da je nekdo lahko spremenil e-poštni naslov, geslo in dvofaktorske nastavitve za preverjanje pristnosti svojega Facebook računa preprosto tako, da ga je oponašal v sporočilih skupini za podporo strankam.

Sporočila niso bila poslana niti iz e-poštnega naslova, ki je bil uporabljen za račun Facebook, in predstavnik podpore strankam je sprejel napačno identifikacijo, potem ko je od hekerja zahteval, da dokaže, da je račun res pripadal njim.

To je vse, kar je bilo potrebno, da je heker pridobil dostop do računa. Ko je bilo to storjeno, je spremenil vse podatke za prijavo, izbrisal nekaj strani v Facebooku, namenjene poslu lastnika računa, in poslal napačno zaročenko zaročenki.

Celotna afera je trajala štiri ure od začetka do konca. Ni bilo pomembno, da heker ni imel e-poštnega naslova ali gesla lastnika računa. Pravzaprav ni bilo niti pomembno, da je lastnik računa vklopil preverjanje pristnosti v dveh faktorjih.

Pomembno je le dejstvo, da je bila podpora strankam s strani Facebooka pripravljena spremeniti te nastavitve kljub vsem rdečim zastavam - pošiljanje e-poštnih sporočil z napačnega naslova, ki trdi, da nimajo telefona, ki prinaša napačen ID - ki se je pojavil.

To je vse po zaslugi tehnike, imenovane socialni inženiring. Socialni inženiring se namesto, da bi pridobili dostop do informacij nekoga, zlomil šifriranje, krajo podatkov ali kako drugače uporabil tehnično čarovništvo, zato se zanaša na prepričljivo laž.

Samo gledajte ta videoposnetek od Fuzija "Resnična prihodnost", ki prikazuje žensko, ki je dobila dostop do telefonskega računa urednika Kevina Rooseja z nič več kot le YouTube posnetek jokajočega otroka in nekaj dramatičnega igranja:

Facebook ni edino podjetje, ki je ranljivo za socialni inženiring. V začetku tega leta je bil Amazon obtožen, da je dal osebne podatke stranke nekomu, ki se pooseblja z njimi.

V zadnjem času je prek socialnega inženirstva ukraden račun Twittera aktivista za državljanske pravice DeRay McKesson. Hacker se je med klicem Verizona predstavil kot McKesson, zamenjal kartico SIM, povezano z njegovo številko, in nato uporabil ta dostop, da bi se izognil dvokomponentnemu preverjanju pristnosti na McKessonovem računu.

SquidWhale je bil nazadnje odobren dostop do svojih računov. McKessonovemu Twitter računu so ga vrnili. Toda to ne spremeni dejstva, da so izgubili dostop do pomembnih storitev, čeprav so se poskušali braniti.

Veliko ljudi lahko stori samo, da se zaščiti na spletu. Uporabite močna, edinstvena gesla. Ne uporabljajte enega od teh groznih gesel. Nastavite preverjanje pristnosti v dveh faktorjih. Izogibajte se negotovim povezavam, ki omogočajo, da nekdo prestreže podatke za prijavo, ko so v tranzitu.

Ta lastnik podjetja je naredil vse te stvari. Vendar, dokler bodo ekipe za podporo strankam sposobne spremeniti račune ali poiskati občutljive informacije, bo vedno prisotna šibka povezava v metaforični ograji okoli osebnih podatkov.

Facebook se še ni odzval na zahteve za intervju o tem primeru, vendar bomo to zgodbo posodobili, ko se bo to zgodilo.