Facebook kundesupport aktiveret konto hack

Facebooks kundesupportsteam hjælper nogen med at bryde ind på din konto.

Reddit-bruger SquidWhale hævder, at nogen var i stand til at ændre e-mail-adressen, adgangskoden og tofaktors godkendelsesindstillingerne på hans Facebook-konto ved blot at udgive ham i meddelelser til kundesupportteamet.

Beskederne blev ikke engang sendt fra den e-mail-adresse, der blev brugt til Facebook-kontoen, og kundesupportrepræsentanten accepterede fejlidentifikation, efter at de bad hackeren om at bevise, at kontoen virkelig tilhørte dem.

Det var alt, hvad det tog for hackeren at få adgang til kontoen. Når det var gjort, ændrede han alle loginoplysningerne, slettede flere Facebook-sider afsat til kontoindehaverens forretning og sendte et pik til den retmæssige ejerens forlovede.

Hele affæren tog fire timer fra start til slut. Det gjorde ikke noget, at hackeren ikke havde kontoens ejerens e-mail-adresse eller adgangskode. Helvete, det var ikke engang noget, at kontoejeren havde aktiveret to-faktor-godkendelse.

Alt hvad der var vigtigt var, at Facebooks kundesupport var villig til at ændre disse indstillinger på trods af alle de røde flag - e-mail fra den forkerte adresse, hævdede ikke at have en telefon, der gav det forkerte id - der dukkede op.

Dette er alt takket være en teknik, der kaldes social engineering. I stedet for at bryde kryptering, stjæle data eller på anden måde bruge teknisk wizardry for at få adgang til andens oplysninger, bygger socialteknologi kun på at fortælle en overbevisende løgn.

Bare se denne video fra Fusion S "The Real Future", som viser en kvinde, der får adgang til redaktør Kevin Rooses telefonkonto med intet mere end et YouTube-klip af en grædende baby og nogle dramatiske skuespillere:

Facebook er ikke det eneste selskab, der er sårbart over for social ingeniørvirksomhed. Tidligere i år blev Amazon anklaget for at udlevere en kundes personlige oplysninger til en person, der var imod dem.

For nylig blev civilretlig aktivist DeRay McKessons Twitter konto stjålet via social engineering. Hackeren udgjorde som McKesson i et opkald til Verizon, ændrede SIM-kortet i forbindelse med hans nummer og brugte derefter den adgang til at omgå to-faktor-godkendelsen på McKessons konto.

SquidWhale fik til sidst adgang til hans konti. McKessons Twitter konto blev returneret til ham. Men det ændrer ikke, at de mistede adgangen til vigtige tjenester, selvom de forsøgte at forsvare sig.

Der er kun så meget folk kan gøre for at beskytte sig online. Brug stærke, unikke adgangskoder. Brug ikke et af disse forfærdelige adgangskoder. Konfigurer tofaktors godkendelse. Undgå usikre forbindelser, der gør det muligt for nogen at opfange loginoplysninger, mens de er i transit.

Denne virksomhedsejer gjorde alle disse ting. Men så længe kundesupporthold kan ændre konti eller opsøge følsomme oplysninger, vil der altid være et svagt link i det metaforiske hegn omkring personlige data.

Facebook har endnu ikke svaret på interviewforespørgsler om denne sag, men vi vil opdatere denne historie, når den gør det.