A Facebook ügyfélszolgálata lehetővé tette a fiókok csapkodását

A Facebook ügyfélszolgálati csapata segíteni fog valakinek, aki betör a fiókjába.

A Reddit felhasználó SquidWhale azt állítja, hogy valaki megváltoztatta Facebook-fiókjának e-mail címét, jelszavát és két faktorú hitelesítési beállításait egyszerűen azzal, hogy az ügyfélszolgálati munkatársaknak szóló üzenetekben adta meg.

Az üzenetek még a Facebook-fiókhoz használt e-mail címről sem voltak elküldve, és az ügyfélszolgálati képviselő elfogadta a hibás azonosítást, miután megkérdezte a hackertől, hogy bizonyítsa, hogy a fiók valóban nekik tartozik.

Ez mindössze annyi volt, hogy a hacker hozzáférjen a fiókhoz. Miután ez megtörtént, megváltoztatta az összes bejelentkezési adatot, törölte a Facebook tulajdonosainak üzleti tevékenységére szánt több Facebook oldalt, és küldött egy fickót a jogos tulajdonos menyasszonyának.

Az egész ügy kezdete négy órát vett igénybe. Nem számított, hogy a hacker nem rendelkezett a fiók tulajdonosa e-mail címével vagy jelszavával. Hell, nem is számított, hogy a fióktulajdonos bekapcsolta a kétfaktoros hitelesítést.

Mindössze annyit jelentett, hogy a Facebook ügyfélszolgálata hajlandó volt megváltoztatni ezeket a beállításokat az összes piros zászló ellenére - e-mailben a rossz címről, és azt állította, hogy nincs telefonja, amely hibás azonosítót szolgáltatott.

Mindez egy olyan technikának köszönhető, amelyet a social engineering-nek hívnak. A titkosítás törlése, az adatok ellopása, vagy a technikai varázslat más módon történő használata, hogy hozzáférjenek valakinek információihoz, a szociális tervezés csak egy meggyőző hazugságra támaszkodik.

Csak nézze meg ezt a videót magfúzió „The Real Future”, amely egy olyan nőt ábrázol, aki hozzáférést biztosít Kevin Roose telefonszámlájához, és nem más, mint egy síró baba klipje és néhány drámai cselekvés:

A Facebook nem az egyetlen olyan vállalat, amely sebezhető a szociális tervezéssel szemben. Az év elején az Amazon-t azzal vádolták, hogy az ügyfél személyes adatait olyan személynek adta ki, aki személyiséget vallott.

A közelmúltban a DeRay McKesson polgári jogi aktivista Twitter-fiókját ellopták a szociális tervezés révén. A hacker, aki McKessonnak hívta a Verizon hívását, megváltoztatta a számához társított SIM-kártyát, majd ezt a hozzáférést használta a két faktorú hitelesítéshez a McKesson számláján.

A SquidWhale-t végül hozzáférést kapták a számlájához. McKesson Twitter-fiókját visszaküldték neki. De ez nem változtatja meg azt a tényt, hogy elvesztették a fontos szolgáltatásokhoz való hozzáférést, még akkor is, ha megpróbálták megvédeni magukat.

Csak annyi ember tehet, hogy megvédje magát online. Használjon erős, egyedi jelszavakat. Ne használjon e szörnyű jelszavak egyikét. Kétfaktoros hitelesítés beállítása. Kerülje el a bizonytalan kapcsolatokat, amelyek lehetővé teszik, hogy valaki átvihesse a bejelentkezési adatokat, amíg azok tranzitban vannak.

Ez a vállalkozás tulajdonosa mindent megtett. Mindaddig, amíg az ügyfélszolgálati csapatok képesek lesznek a számlák megváltoztatására vagy érzékeny információk keresésére, a személyes adatok metaforikus kerítésénél mindig gyenge a kapcsolat.

A Facebook még nem válaszolt erre az esetre vonatkozó interjúkérésre, de frissítjük ezt a történetet, ha ez megtörténik.