L'account del cliente di Facebook ha permesso l'hack dell'account

Il team di assistenza clienti di Facebook aiuterà qualcuno a entrare nel tuo account.

L'utente di Reddit SquidWhale afferma che qualcuno è stato in grado di modificare l'indirizzo email, la password e le impostazioni di autenticazione a due fattori del suo account Facebook semplicemente impersonandolo nei messaggi al team di assistenza clienti.

I messaggi non sono stati nemmeno inviati dall'indirizzo e-mail utilizzato per l'account Facebook e il rappresentante dell'assistenza clienti ha accettato un'identificazione errata dopo aver chiesto all'hacker di dimostrare che l'account apparteneva realmente a loro.

È bastato che l'hacker ottenesse l'accesso all'account. Fatto ciò, ha modificato tutti i dettagli di accesso, cancellato diverse pagine di Facebook dedicate all'attività del proprietario dell'account e ha inviato una foto dick alla fidanzata del legittimo proprietario.

L'intera faccenda ha impiegato quattro ore dall'inizio alla fine. Non importava che l'hacker non avesse l'indirizzo email o la password del proprietario dell'account. Al diavolo, non importava nemmeno che il proprietario dell'account avesse attivato l'autenticazione a due fattori.

Tutto ciò che importava era il fatto che il supporto clienti di Facebook fosse disposto a modificare queste impostazioni nonostante tutte le bandiere rosse - l'invio di e-mail dall'indirizzo sbagliato, affermando di non avere un telefono, fornendo l'ID errato - che è saltato fuori.

Questo è tutto grazie a una tecnica chiamata social engineering. Invece di infrangere la crittografia, rubare dati, o altrimenti usare tecniche magiche per accedere alle informazioni di qualcuno, l'ingegneria sociale si basa solo sul dire una bugia convincente.

Basta guardare questo video da Fusione "The Real Future", che raffigura una donna che ha accesso all'account del redattore Kevin Roose con nient'altro che una clip su YouTube di un bambino che piange e una recitazione drammatica:

Facebook non è l'unica azienda vulnerabile all'ingegneria sociale. All'inizio di quest'anno, Amazon è stata accusata di fornire le informazioni personali di un cliente a qualcuno che si stava impersonando.

Più recentemente, l'account Twitter di DeRay McKesson, attivista per i diritti civili, è stato rubato tramite l'ingegneria sociale. L'hacker posò come McKesson in una chiamata a Verizon, cambiò la carta SIM associata al suo numero e poi usò quell'accesso per aggirare l'autenticazione a due fattori sull'account di McKesson.

A SquidWhale è stato concesso l'accesso ai suoi account. L'account Twitter di McKesson è stato restituito a lui. Ma ciò non cambia il fatto che hanno perso l'accesso a servizi importanti anche se hanno cercato di difendersi.

C'è solo così tanta gente che può fare per proteggersi online. Usa password forti e uniche. Non usare una di queste terribili password. Imposta l'autenticazione a due fattori. Evita connessioni non sicure che potrebbero consentire a qualcuno di intercettare i dettagli di accesso mentre sono in transito.

Questo imprenditore ha fatto tutte queste cose. Tuttavia, fintanto che i team di assistenza clienti sono in grado di cambiare account o cercare informazioni sensibili, ci sarà sempre un collegamento debole nella recinzione metaforica che circonda i dati personali.

Facebook non ha ancora risposto alle richieste di intervista su questo caso, ma aggiorneremo questa storia quando lo farà.