„Facebook“ klientų palaikymas įgalino paskyros įsilaužimą

„Facebook“ klientų aptarnavimo komanda padės kas nors įsilaužti į jūsų sąskaitą.

„Reddit“ vartotojas „SquidWhale“ teigia, kad kažkas galėjo pakeisti savo „Facebook“ paskyros el. Pašto adresą, slaptažodį ir dviejų veiksnių autentifikavimo nustatymus, tiesiog įvardydamas jį pranešimuose klientų aptarnavimo komandai.

Pranešimai net nebuvo išsiųsti iš „Facebook“ paskyroje naudojamo el. Pašto adreso, o klientų aptarnavimo atstovas priėmė klaidingą identifikavimą, kai paprašė įsilaužėlių įrodyti, kad paskyra tikrai priklauso jiems.

Visa tai užtruko, kad įsilaužėlis galėtų gauti prieigą prie paskyros. Kai tai buvo padaryta, jis pakeitė visas prisijungimo duomenis, ištrino kelis „Facebook“ puslapius, skirtus sąskaitos savininko verslui, ir išsiuntė „Dick pic“ teisėto savininko sužadėtinei.

Visas reikalas praėjo keturias valandas nuo pradžios iki pabaigos. Nesvarbu, ar įsilaužėlis neturėjo paskyros savininko el. Pašto adreso ar slaptažodžio. Pragaras, net nebuvo svarbu, kad paskyros savininkas įjungė dviejų veiksnių autentifikavimą.

Visa tai buvo svarbu tuo, kad „Facebook“ klientų aptarnavimo tarnyba norėjo keisti šiuos nustatymus, nepaisant visų raudonų vėliavų - el. Laiškų siuntimo iš neteisingo adreso, teigdama, kad neturėjo telefono, suteikiančio neteisingą ID - tai atsiskleidė.

Visa tai dėka technika, vadinama socialine inžinerija. Užuot užslėpusi šifravimą, vagydama duomenis ar kitaip naudodama techninę burtininkę, kad gautumėte prieigą prie asmens informacijos, socialinė inžinerija tiesiog remiasi įtikinamo melo pasakojimu.

Tiesiog žiūrėkite šį vaizdo įrašą „Fusion“ „Tikroji ateitis“, kurioje vaizduojama moteris, kuri turi prieigą prie redaktoriaus Kevin Roose telefono sąskaitos, o ne tik „YouTube“ klipas, kurį sudaro šaukiantis kūdikis, ir kai kurie dramatiški veiksmai:

„Facebook“ nėra vienintelė socialinei inžinerijai pažeidžiama įmonė. Anksčiau šiais metais „Amazon“ buvo apkaltinta pateikiant kliento asmeninę informaciją tiems, kurie juos įkūnijo.

Neseniai pilietinės teisės aktyvistas DeRay McKesson „Twitter“ paskyra buvo pavogta per socialinę inžineriją. „Hacker“, kaip „McKesson“ skambinant į „Verizon“, pakeitė SIM kortelę, susijusią su jo numeriu, ir tada naudojo tą prieigą, norėdamas apeiti dviejų veiksnių autentifikavimą „McKesson“ paskyroje.

SquidWhale galiausiai buvo suteikta prieiga prie jo sąskaitų. „McKesson“ „Twitter“ paskyra jam buvo grąžinta. Tačiau tai nekeičia fakto, kad jie prarado prieigą prie svarbių paslaugų, nors bandė apsiginti.

Žmonės gali padaryti tik daug, kad apsaugotų save internete. Naudokite stiprius unikalius slaptažodžius. Nenaudokite vieno iš šių baisių slaptažodžių. Nustatykite dviejų veiksnių autentifikavimą. Venkite nesaugių jungčių, kurie gali leisti kitiems perimti prisijungimo duomenis.

Šis įmonės savininkas padarė visus šiuos dalykus. Tačiau tol, kol klientų aptarnavimo komandos galės keisti sąskaitas arba ieškoti slaptos informacijos, visuomet bus silpna sąsaja su asmens duomenų metaforine tvora.

„Facebook“ dar neatsakė į interviu užklausas apie šią bylą, bet mes atnaujinsime šią istoriją, kai ji bus padaryta.