Facebook поддръжка на клиенти активирана сметка рана

Екипът за поддръжка на клиенти на Facebook ще помогне на някого да проникне в профила ви.

Потребителят на Reddit SquidWhale твърди, че някой е успял да промени имейл адреса, паролата и настройките за автентикация на два фактора в неговата Facebook сметка, просто като ги представя в съобщения на екипа за поддръжка на клиенти.

Съобщенията дори не са били изпращани от имейл адреса, използван за профила във Facebook, а представителят за поддръжка на клиенти прие неправилната идентификация, след като поиска от хакер да докаже, че сметката наистина принадлежи на тях.

Това е всичко, от което хакерът трябваше да получи достъп до профила. След като свърши, той промени всички данни за вход, изтри няколко страници във Facebook, посветени на бизнеса на собственика на профила, и изпрати пик на годеницата на законния собственик.

Цялата афера отне четири часа от началото до края. Нямаше значение, че хакерът няма имейл адрес или парола на собственика на профила. По дяволите, дори не бе от значение, че собственикът на акаунта е включил двуфакторно удостоверяване.

Всичко, което имаше значение, беше фактът, че поддръжката на Facebook от страна на Facebook имаше желание да променя тези настройки, въпреки всички червени флагове - изпращайки по имейл от грешен адрес, твърдейки, че не разполагат с телефон, осигурявайки грешен идентификационен номер - който се появи.

Това е всичко благодарение на техника, наречена социално инженерство. Вместо да разчупва криптирането, да краде данни или да използва техническото магьосничество, за да получи достъп до нечия информация, социалният инженеринг просто разчита на убедителна лъжа.

Просто гледайте този видеоклип от синтез "Истинското бъдеще", което изобразява жена, която получава достъп до телефонния акаунт на Кевин Руз с нищо повече от клип в YouTube на плачещо бебе и някои драматични актове:

Facebook не е единствената компания, уязвима към социалното инженерство. По-рано тази година Amazon бе обвинен, че е предоставил лична информация на клиента на някой, който се е представял за тях.

Съвсем наскоро чрез социалното инженерство беше откраднат акаунтът на активиста за граждански права DeRay McKesson в Twitter. Хакерът се изправи като Маккесън в разговор с Verizon, смени SIM картата, свързана с неговия номер, и след това използваше този достъп, за да премине през двуфакторната автентификация в сметката на McKesson.

Накрая SquidWhale получи достъп до неговите сметки. Профилът на Маккесън в Twitter бе върнат му. Но това не променя факта, че те са загубили достъп до важни услуги, въпреки че се опитват да се защитят.

Има само толкова много хора, които могат да се защитят онлайн. Използвайте силни, уникални пароли. Не използвайте една от тези ужасни пароли. Настройте двуфакторна автентификация. Избягвайте несигурни връзки, които могат да позволят на някого да прехваща данните за вход, докато те са в транзит.

Този собственик на бизнеса направи всички тези неща. Но докато екипите за поддръжка на клиенти са в състояние да променят сметки или да търсят чувствителна информация, винаги ще има слаба връзка в метафоричната ограда около личните данни.

Facebook все още не е отговорил на заявки за интервю за този случай, но ние ще актуализираме тази история, когато го направи.