Sokongan pelanggan Facebook membolehkan hack akaun

Pasukan sokongan pelanggan Facebook akan membantu seseorang memasuki akaun anda.

Pengguna Reddit SquidWhale mendakwa bahawa seseorang dapat menukar alamat e-mel, kata laluan, dan pengesahan pengesahan dua faktor akaun Facebooknya hanya dengan menyamar dirinya dalam mesej kepada pasukan sokongan pelanggan.

Mesej tersebut tidak dihantar dari alamat e-mel yang digunakan untuk akaun Facebook, dan wakil sokongan pelanggan menerima identifikasi yang salah setelah mereka meminta penggodam untuk membuktikan bahawa akaun itu benar-benar milik mereka.

Itulah yang diperlukan untuk penggodam untuk mendapatkan akses ke akaun itu. Sebaik sahaja ia selesai, ia mengubah semua butiran log masuk, memadam beberapa halaman Facebook yang dikhaskan untuk perniagaan pemilik akaun, dan menghantar gambar batang ke tunang pemilik yang sah.

Keseluruhan urusan itu mengambil masa empat jam dari awal hingga akhir. Tidak kira bahawa penggodam tidak mempunyai alamat e-mel atau kata laluan pemilik akaun. Neraka, tidak kira pun pemilik akaun telah menghidupkan pengesahan dua faktor.

Apa yang penting ialah hakikat bahawa sokongan pelanggan Facebook bersedia mengubah tetapan ini walaupun semua bendera merah - menghantar e-mel dari alamat yang salah, mendakwa tidak mempunyai telefon, memberikan ID yang salah - yang muncul.

Ini semua terima kasih kepada teknik yang dikenali sebagai kejuruteraan sosial. Daripada melanggar penyulitan, mencuri data, atau menggunakan sihir teknikal untuk mendapatkan akses kepada maklumat seseorang, kejuruteraan sosial hanya bergantung pada menceritakan kebohongan yang meyakinkan.

Hanya menonton video ini dari Fusion "Masa Depan Nyata," yang menggambarkan seorang wanita mendapat akses kepada akaun telefon editor Kevin Roose dengan apa-apa yang lebih daripada klip YouTube bayi yang menangis dan beberapa tindakan dramatik:

Facebook bukan satu-satunya syarikat yang terdedah kepada kejuruteraan sosial. Awal tahun ini, Amazon dituduh memberi maklumat peribadi pelanggan kepada seseorang yang meniru mereka.

Baru-baru ini, aktivis hak sivil aktivis DeRay McKesson di Twitter telah dicuri melalui kejuruteraan sosial. Peretas yang ditimbulkan sebagai McKesson dalam panggilan ke Verizon, menukar kad SIM yang dikaitkan dengan nombornya, dan kemudian menggunakan akses itu untuk mendapatkan pengesahan dua faktor pada akaun McKesson.

SquidWhale akhirnya diberikan akses kepada akaunnya. Akaun Twitter McKesson dikembalikan kepadanya. Tetapi itu tidak mengubah hakikat bahawa mereka kehilangan akses kepada perkhidmatan penting walaupun mereka cuba mempertahankan diri.

Hanya ada banyak orang boleh lakukan untuk melindungi diri mereka secara dalam talian. Gunakan kata laluan yang kuat dan unik. Jangan gunakan salah satu daripada kata laluan yang dahsyat ini. Sediakan pengesahan dua faktor. Elakkan sambungan tidak selamat yang membolehkan seseorang memintas butiran log masuk semasa mereka sedang dalam perjalanan.

Pemilik perniagaan ini melakukan semua perkara itu. Namun selagi pasukan sokongan pelanggan dapat menukar akaun atau mencari maklumat yang sensitif akan selalu menjadi pautan lemah dalam pagar metafora yang mengelilingi data peribadi.

Facebook belum lagi menjawab permintaan wawancara mengenai perkara ini tetapi kami akan mengemas kini kisah ini apabila ia berlaku.