Facebook zákaznická podpora umožnila hackování účtu

Tým zákaznické podpory Facebook pomůže někomu, aby se dostal do vašeho účtu.

Uživatel Reddit SquidWhale tvrdí, že někdo byl schopen změnit e-mailovou adresu, heslo a nastavení dvou faktorů ověřování svého účtu na Facebooku jednoduše tím, že se ho vydával do zpráv týmu zákaznické podpory.

Zprávy nebyly odeslány ani z e-mailové adresy použité pro účet na Facebooku a zástupce zákaznické podpory přijal vadnou identifikaci poté, co požádal hackera, aby prokázal, že jim účet skutečně patří.

To je vše, co hacker potřeboval k přístupu k účtu. Poté, co to udělal, změnil všechny přihlašovací údaje, odstranil několik stránek věnovaných účtu majitele účtu a poslal penisu na snoubence právoplatného majitele.

Celá záležitost trvala čtyři hodiny od začátku do konce. Nezáleželo na tom, zda hacker nemá e-mailovou adresu nebo heslo vlastníka účtu. Nezáleželo ani na tom, zda vlastník účtu zapnul dvoufaktorovou autentizaci.

Jediné, na čem záleželo, byla skutečnost, že zákaznická podpora Facebooku byla ochotna změnit tato nastavení navzdory všem červeným vlajkám - e-mailem z nesprávné adresy, která tvrdí, že nemá telefon poskytující nesprávné ID - které se objevilo.

To vše je díky technice zvané sociální inženýrství. Místo toho, aby se porušilo šifrování, krádeže dat nebo jinak používali technické kouzlo, aby získali přístup k něčím informacím, se sociální inženýrství spoléhá na to, že řekne přesvědčivou lež.

Stačí sledovat toto video Fúze „Skutečná budoucnost“, která zobrazuje ženu, která má přístup k telefonnímu účtu editora Kevina Rooseho, který nemá nic jiného než klip YouTube plačícího dítěte a některé dramatické herecké výkony:

Facebook není jedinou společností citlivou na sociální inženýrství. Tento rok byl Amazon obviněn z toho, že poskytl osobní údaje zákazníkovi někomu, kdo se je vydával za ně.

Nedávno byl odcizen účet aktivistů občanských práv DeRay McKesson přes sociální inženýrství. Hacker představil jako McKesson ve volání do Verizon, změnil SIM kartu spojenou s jeho číslem, a pak použil tento přístup k obousměrnému ověřování na účtu McKesson.

SquidWhale byl nakonec udělen přístup k jeho účtům. Účet Twitter společnosti McKesson mu byl vrácen. To však nezmění skutečnost, že ztratili přístup k důležitým službám, i když se snažili bránit.

Je jen tolik lidí, kteří se mohou chránit online. Používejte silná a jedinečná hesla. Nepoužívejte jedno z těchto hrozných hesel. Nastavení dvoufaktorové autentizace. Vyhněte se nezabezpečeným připojením, která by mohla někomu umožnit zachytit přihlašovací údaje během jejich přepravy.

Tento vlastník firmy udělal všechny tyto věci. Dokud budou týmy zákaznické podpory schopny měnit účty nebo vyhledávat citlivé informace, bude vždy existovat slabý odkaz v metaforickém oplocení obklopujícím osobní údaje.

Facebook ještě neodpověděl na žádosti o rozhovor o tomto případu, ale tento příběh budeme aktualizovat, když to udělá.