Facebook klientu atbalsts ļāva kontam izlaist

Facebook klientu atbalsta komanda palīdzēs kādam ielauzties jūsu kontā.

Reddit lietotājs SquidWhale apgalvo, ka kāds varēja mainīt sava Facebook konta e-pasta adresi, paroli un divu faktoru autentifikācijas iestatījumus, vienkārši uzdodot viņam ziņas klientu atbalsta komandai.

Ziņas netika nosūtītas no e-pasta adreses, kas tika izmantota Facebook kontam, un klientu atbalsta pārstāvis atzina kļūdainu identifikāciju pēc tam, kad viņi lūdza hacker pierādīt, ka konts tiešām pieder viņiem.

Tas viss vajadzīgs, lai hacker piekļūtu kontam. Pēc tam, kad tas tika izdarīts, viņš mainīja visus pieteikšanās datus, izdzēsa vairākus Facebook lapu, kas veltīta konta īpašnieka uzņēmējdarbībai, un nosūtīja penis pic likumīgajam īpašnieka līgavainim.

Visa lieta sākās četras stundas no sākuma līdz beigām. Tas nebija svarīgi, ka hacker nebija konta īpašnieka e-pasta adreses vai paroles. Hell, tas pat nav svarīgi, ka konta īpašnieks ir ieslēdzis divu faktoru autentifikāciju.

Viss svarīgākais bija fakts, ka Facebook klientu atbalsts bija gatavs mainīt šos iestatījumus, neraugoties uz visiem sarkanajiem karodziņiem - nosūtot e-pastu no nepareizas adreses, apgalvojot, ka viņam nav tālruņa, kas sniedz nepareizu ID - tas parādījās.

Tas viss ir pateicoties metodei, ko sauc par sociālo inženieriju. Tā vietā, lai pārtrauktu šifrēšanu, zagtu datus vai citādi izmantotu tehnisko burvību, lai piekļūtu kādas personas informācijai, sociālā inženierija vienkārši paļaujas uz pārliecinošu meli.

Vienkārši skatieties šo videoklipu no Kodolsintēze “The Real Future”, kurā attēlota sieviete, kas iegūst piekļuvi redaktoram Kevin Roose telefona kontam ar nekādu vairāk kā tikai klipu, kas ir kliedzošs bērns un daži dramatiski aktieri:

Facebook nav vienīgais uzņēmums, kas ir neaizsargāts pret sociālo inženieriju. Šogad Amazon tika apsūdzēts par klienta personiskās informācijas sniegšanu kādam no tiem, kas viņus apsūdzēja.

Pavisam nesen pilsoniskās tiesību aktīvists DeRay McKesson Twitter konts tika nozagts, izmantojot sociālo inženieriju. Hacker, kas tika uzaicināts kā McKesson, zvanot uz Verizon, nomainīja ar viņa numuru saistīto SIM karti un pēc tam izmantoja šo piekļuvi, lai apietu divu faktoru autentifikāciju McKesson kontā.

SquidWhale beidzot tika piešķirta piekļuve viņa kontiem. Viņam tika atgriezts McKesson Twitter konts. Bet tas nemaina faktu, ka viņi zaudēja piekļuvi svarīgiem pakalpojumiem, lai gan viņi mēģināja sevi aizstāvēt.

Cilvēki var darīt tikai tik daudz, lai aizsargātu sevi tiešsaistē. Izmantojiet spēcīgas un unikālas paroles. Nelietojiet kādu no šīm briesmīgajām parolēm. Iestatiet divfaktoru autentifikāciju. Izvairieties no nedrošiem savienojumiem, kas varētu ļaut kādam no tiem pārtvert pieteikšanās datus, kamēr tie atrodas tranzītā.

Šis uzņēmuma īpašnieks darīja visas šīs lietas. Tomēr, kamēr klientu atbalsta komandas var mainīt kontus vai meklēt konfidenciālu informāciju, personas datu metaforiskā žoga vienmēr būs vāja saikne.

Facebook vēl nav atbildējis uz intervijas pieprasījumiem par šo gadījumu, bet mēs atjaunināsim šo stāstu, kad tā būs.