Взлом аккаунта в службе поддержки клиентов Facebook

Служба поддержки клиентов Facebook поможет кому-нибудь взломать ваш аккаунт.

Пользователь Reddit SquidWhale утверждает, что кто-то смог изменить адрес электронной почты, пароль и параметры двухфакторной аутентификации своей учетной записи Facebook, просто выдав себя за него в сообщениях в службу поддержки клиентов.

Сообщения даже не отправлялись с адреса электронной почты, используемого для учетной записи Facebook, и представитель службы поддержки принял ошибочную идентификацию после того, как попросил хакера доказать, что учетная запись действительно принадлежит им.

Это все, что понадобилось хакеру для получения доступа к учетной записи. Как только это было сделано, он изменил все данные для входа в систему, удалил несколько страниц Facebook, посвященных бизнесу владельца учетной записи, и отправил фотку члена невесте законного владельца.

Все дело заняло четыре часа от начала до конца. При этом не имело значения, что у хакера не было адреса электронной почты или пароля владельца учетной записи. Черт, даже не имело значения, что владелец аккаунта включил двухфакторную аутентификацию.

Все, что имело значение, было то, что служба поддержки Facebook была готова изменить эти настройки, несмотря на все красные флажки - отправка электронной почты с неправильного адреса, утверждение о том, что у вас нет телефона, предоставление неправильного идентификатора - который появился.

Это все благодаря технике, называемой социальной инженерией. Вместо взлома шифрования, кражи данных или иного использования технического волшебства для получения доступа к чьей-то информации социальная инженерия просто полагается на убедительную ложь.

Просто посмотрите это видео с сплавление «Настоящее будущее», в котором изображена женщина, которая получает доступ к телефонной учетной записи редактора Кевина Руза с помощью всего лишь клипа на YouTube о плачущем ребенке и некоторой драматической игре:

Facebook не единственная компания, уязвимая для социальной инженерии. Ранее в этом году Amazon обвинили в выдаче личной информации клиента кому-то, кто имитировал его.

Совсем недавно аккаунт активиста движения за гражданские права DeRay McKesson в Twitter был украден с помощью социальной инженерии. Хакер выдал себя за МакКессона во время звонка в Verizon, сменил SIM-карту, связанную с его номером, и затем использовал этот доступ, чтобы обойти двухфакторную аутентификацию на аккаунте МакКессона.

В конечном итоге SquidWhale получил доступ к своим аккаунтам. Твиттер-аккаунт Маккессона был возвращен ему. Но это не меняет того факта, что они потеряли доступ к важным услугам, даже если они пытались защитить себя.

Люди могут сделать так много, чтобы защитить себя в Интернете. Используйте надежные, уникальные пароли. Не используйте один из этих ужасных паролей. Настройте двухфакторную аутентификацию. Избегайте небезопасных соединений, которые могут позволить кому-либо перехватывать данные для входа в систему, пока они находятся в пути.

Этот владелец бизнеса сделал все эти вещи. Тем не менее, пока группы поддержки клиентов могут менять учетные записи или искать конфиденциальную информацию, в метафорическом ограждении вокруг личных данных всегда будет слабое звено.

Facebook еще не ответил на запросы об интервью по этому делу, но мы обновим эту историю, когда это произойдет.