Фацебоок подршка за кориснике омогућила је хаковање рачуна

Фацебооков тим за подршку корисницима ће помоћи некоме да провали у ваш налог.

Корисник Реддит СкуидВхале тврди да је неко могао да промени адресу е-поште, лозинку и две факторске поставке за аутентификацију свог Фацебоок налога тако што ће га опонашати у порукама тиму за корисничку подршку.

Поруке се чак и не шаљу са адресе е-поште која је коришћена за Фацебоок налог, а представник корисничке подршке прихватио је неисправну идентификацију након што је од хакера затражио да докаже да им је рачун стварно припадао.

То је све што је хакеру било потребно за приступ рачуну. Када је то урађено, он је променио све податке за пријаву, избрисао неколико Фацебоок страница посвећених послу власника рачуна и послао пиц пицку вереници законитог власника.

Читава афера трајала је четири сата од почетка до краја. Није било важно да хакер није имао адресу е-поште или лозинку власника рачуна. До ђавола, није чак ни било важно да је власник рачуна укључио аутентификацију у два фактора.

Оно што је било важно јесте чињеница да је подршка корисницима Фацебоока била спремна да промени ове поставке упркос свим црвеним заставама - слањем е-поште са погрешне адресе, тврдећи да нема телефон, пружајући погрешан ИД - који се појавио.

Све то захваљујући техници која се зове социјални инжењеринг. Уместо разбијања енкрипције, крађе података или на други начин коришћења техничке чаробности да би се добио приступ нечијим информацијама, социјални инжењеринг се ослања само на уверљиву лаж.

Само гледајте овај видео са Фусион "Права будућност", која приказује жену која добија приступ телефонском рачуну уредника Кевина Роосеа са ништа више од ИоуТубе снимка бебе која плаче и неке драмске глуме:

Фацебоок није једина рањива компанија за социјални инжењеринг. Раније ове године, Амазон је оптужен да је давао личне податке клијента некоме ко их је опонашао.

У новије време, Твитер налог активиста за грађанска права ДеРаи МцКессон украден је преко социјалног инжењеринга. Хакер се позвао као МцКессон у разговору са Веризоном, променио СИМ картицу повезану са његовим бројем, а затим је користио тај приступ да би заобишао аутентификацију на два фактора на МцКессон рачуну.

СкуидВхале је на крају добио приступ својим рачунима. МцКессонов Твиттер налог му је враћен. Али то не мења чињеницу да су изгубили приступ важним услугама иако су покушали да се бране.

Толико људи може учинити само да би се заштитило на мрежи. Користите јаке, јединствене лозинке. Не користите једну од ових ужасних лозинки. Поставите аутентификацију у два фактора. Избегавајте несигурне везе које могу дозволити некоме да пресретне податке за пријаву док су у транзиту.

Власник овог посла је све то урадио. Ипак, све док тимови за подршку корисницима могу да промене рачуне или потраже осетљиве информације увек ће бити слаба веза у метафоричној огради око личних података.

Фацебоок још увијек није одговорио на захтјеве за интервју о овом случају, али ми ћемо ажурирати ову причу када се то догоди.