Facebook kundestøtte aktivert konto hack

Facebooks kundesupportsteam hjelper noen til å gå inn i kontoen din.

Reddit bruker SquidWhale hevder at noen var i stand til å endre innstillingene for e-postadressen, passordet og tofaktorens godkjenning på sin Facebook-konto ved å fortrykke ham i meldinger til kundesupportteamet.

Meldingene ble ikke engang sendt fra e-postadressen som ble brukt til Facebook-kontoen, og kundesupportrepresentanten aksepterte feilidentifikasjon etter at de ba hacken å bevise at kontoen virkelig tilhørte dem.

Det var alt det tok for hackeren å få tilgang til kontoen. Når det var gjort, endret han alle innloggingsopplysningene, slettet flere Facebook-sider viet til kontoinnehaverens virksomhet, og sendte et pikkpikt til den rettmessige eierens forlovede.

Hele saken tok fire timer fra start til slutt. Det gjorde ikke noe at hackeren ikke hadde kontoens e-postadresse eller passord. Helvete, det hørte ikke engang at kontoinnehaveren hadde slått på tofaktorautentisering.

Alt som betydde det var at Facebooks kundesupport var villig til å endre disse innstillingene til tross for alle de røde flaggene - e-post fra feil adresse, hevdet at de ikke hadde en telefon, og ga feil ID - som dukket opp.

Dette er alt takket være en teknikk som kalles sosialteknikk. I stedet for å bryte kryptering, stjele data, eller på annen måte bruke teknisk wizardry for å få tilgang til noens informasjon, bygger sosialteknologi bare på å fortelle en overbevisende løgn.

Bare se denne videoen fra Fusion S "The Real Future", som skildrer en kvinne som får tilgang til redaktør Kevin Rooses telefonkonto med ingenting mer enn et YouTube-klipp av en gråtende baby og litt dramatisk skuespiller:

Facebook er ikke det eneste selskapet sårbart for sosialteknikk. Tidligere i år ble Amazon anklaget for å gi ut en kundes personlige opplysninger til noen som var imitere dem.

Mer nylig ble sivile rettighetsaktivist DeRay McKessons Twitter-konto stjålet via sosialteknikk. Hackeren utgjorde som McKesson i et anrop til Verizon, endret SIM-kortet som var knyttet til nummeret hans, og brukte deretter den tilgangen til å omgå to-faktor-autentisering på McKessons konto.

SquidWhale ble til slutt gitt tilgang til hans kontoer. McKessons Twitter konto ble returnert til ham. Men det endrer ikke det faktum at de mistet tilgangen til viktige tjenester, selv om de forsøkte å forsvare seg.

Det er bare så mye folk kan gjøre for å beskytte seg på nettet. Bruk sterke, unike passord. Ikke bruk ett av disse forferdelige passordene. Sett opp tofaktorautentisering. Unngå usikre forbindelser som kan tillate noen å avlyse innloggingsdetaljer mens de er i transitt.

Denne bedriftseieren gjorde alle disse tingene. Likevel, så lenge kundesupportteam kan endre kontoer eller slå opp sensitiv informasjon, vil det alltid være en svak lenke i metaforisk gjerdet rundt personopplysninger.

Facebook har ennå ikke svart på intervjuforespørsler om denne saken, men vi vil oppdatere denne historien når den gjør det.