Facebook zákaznícka podpora umožnila hack účtu

Tím zákazníckej podpory Facebook pomôže niekomu preniknúť do vášho účtu.

Reddit užívateľ SquidWhale tvrdí, že niekto bol schopný zmeniť e-mailovú adresu, heslo a nastavenia dvojfaktorovej autentifikácie jeho účtu na Facebooku jednoducho tým, že ho zosobnil v správach tímu zákazníckej podpory.

Správy neboli odoslané ani z e-mailovej adresy používanej na účte Facebook a zástupca podpory zákazníkov prijal chybnú identifikáciu po tom, ako požiadal hackera, aby preukázal, že účet skutočne patril k nim.

To je všetko, čo bolo potrebné, aby hacker získal prístup k účtu. Akonáhle to urobil, zmenil všetky prihlasovacie údaje, odstránil niekoľko stránok na Facebooku venovaných obchodu vlastníka účtu a poslal na pána snúbenca právoplatného majiteľa.

Celá záležitosť trvala štyri hodiny od začiatku až do konca. Nezáležalo na tom, či hacker nemal e-mailovú adresu alebo heslo vlastníka účtu. Nezáleží na tom, či vlastník účtu zapol dvojfaktorovú autentifikáciu.

Jediné, na čom záležalo, bola skutočnosť, že zákaznícka podpora spoločnosti Facebook bola ochotná zmeniť tieto nastavenia napriek všetkým červeným vlajkam - e-mailom z nesprávnej adresy, pričom tvrdili, že telefón nie je vybavený nesprávnym ID.

To všetko je vďaka technike nazývanej sociálne inžinierstvo. Namiesto prerušenia šifrovania, odcudzenia údajov alebo iného používania technického čarodejníctva na získanie prístupu k informáciám niekoho iného sa sociálne inžinierstvo spolieha len na to, že bude hovoriť o presvedčivej lži.

Pozrite si toto video fúzie „Skutočná budúcnosť“, v ktorej je znázornená žena, ktorá získala prístup k telefónnemu kontu redaktorky Kevin Roose s ničím iným než klipom YouTube plačúceho dieťaťa a niektorými dramatickými hercami:

Facebook nie je jedinou spoločnosťou citlivou na sociálne inžinierstvo. Začiatkom tohto roka bola spoločnosť Amazon obvinená z toho, že poskytovala osobné údaje zákazníkovi niekomu, kto sa im vydával za seba.

Nedávno bol účet Twitter pre občianske práva aktivista DeRay McKesson ukradnutý prostredníctvom sociálneho inžinierstva. Hacker predstavil ako McKesson vo výzve na Verizon, zmenil SIM kartu spojenú s jeho číslom a potom použil tento prístup na obchádzanie dvojfaktorovej autentifikácie na účte McKesson.

SquidWhale bol nakoniec udelený prístup k jeho účtom. Účet Twitter spoločnosti McKesson mu bol vrátený. To však nezmení skutočnosť, že stratili prístup k dôležitým službám, aj keď sa snažili brániť.

Je len toľko ľudí, ktorí sa môžu chrániť online. Používajte silné a jedinečné heslá. Nepoužívajte jedno z týchto hrozných hesiel. Nastavenie dvojfaktorovej autentifikácie. Vyhnite sa nezabezpečeným pripojeniam, ktoré by umožnili niekomu zachytiť prihlasovacie údaje počas ich tranzitu.

Tento vlastník firmy urobil všetky tieto veci. Pokiaľ však tímy zákazníckej podpory dokážu meniť účty alebo vyhľadávať citlivé informácie, vždy bude existovať slabá väzba v metaforickom oplotení okolo osobných údajov.

Facebook ešte neodpovedal na žiadosti o rozhovor o tomto prípade, ale tento príbeh budeme aktualizovať, keď to urobí.