Facebook-klantenondersteuning ingeschakeld account hack

Het klantenserviceteam van Facebook helpt iemand om in te loggen op uw account.

Reddit-gebruiker SquidWhale beweert dat iemand in staat was om het e-mailadres, het wachtwoord en de twee-factor authenticatie-instellingen van zijn Facebook-account te veranderen door hem simpelweg te imiteren in berichten aan het klantenserviceteam.

De berichten werden niet eens verzonden vanaf het e-mailadres dat werd gebruikt voor het Facebook-account, en de medewerker van de klantenservice accepteerde foutieve identificatie nadat ze de hacker hadden gevraagd om te bewijzen dat het account echt van hen was.

Dat is genoeg voor de hacker om toegang te krijgen tot het account. Toen dat eenmaal was gebeurd, veranderde hij alle inloggegevens, verwijderde een aantal Facebook-pagina's die aan het bedrijf van de accounteigenaar waren gewijd en stuurde een pikante foto naar de verloofde van de rechtmatige eigenaar.

De hele affaire duurde vier uur van start tot finish. Het deed er niet toe dat de hacker het e-mailadres of wachtwoord van de accounteigenaar niet had. Helemaal, het deed er niet toe dat de accounteigenaar tweefactorauthenticatie had ingeschakeld.

Het enige wat ertoe deed, was het feit dat de klantenondersteuning van Facebook bereid was om deze instellingen te veranderen, ondanks alle rode vlaggen - e-mailen vanaf het verkeerde adres, beweren geen telefoon te hebben, een verkeerde ID opgeven - die opkwam.

Dit is allemaal te danken aan een techniek genaamd social engineering. In plaats van encryptie te doorbreken, gegevens te stelen of op een andere manier technische toverkunsten te gebruiken om toegang te krijgen tot iemands informatie, vertrouwt social engineering alleen op het vertellen van een overtuigende leugen.

Bekijk deze video gewoon van Fusie 'S Real Real Future', waarin een vrouw wordt afgebeeld die toegang krijgt tot het telefoonaccount van redacteur Kevin Roose met niets anders dan een YouTube-filmpje van een huilende baby en dramatisch acteerwerk:

Facebook is niet het enige bedrijf dat kwetsbaar is voor social engineering. Eerder dit jaar werd Amazon ervan beschuldigd de persoonlijke informatie van een klant weg te geven aan iemand die zich voor hen nadacht.

Meer recentelijk werd Twitter-account van de burgerrechtenactivist DeRay McKesson gestolen via social engineering. De hacker poseerde als McKesson in een oproep aan Verizon, veranderde de simkaart die aan zijn nummer was gekoppeld en gebruikte die toegang vervolgens om de tweefactorauthenticatie op McKesson's account te omzeilen.

SquidWhale kreeg uiteindelijk toegang tot zijn accounts. McKessons Twitter-account is aan hem teruggegeven. Maar dat neemt niet weg dat ze de toegang tot belangrijke diensten hebben verloren, ook al probeerden ze zichzelf te verdedigen.

Er kunnen zo veel mensen doen om zichzelf online te beschermen. Gebruik sterke, unieke wachtwoorden. Gebruik geen van deze vreselijke wachtwoorden. Stel authenticatie met twee factoren in. Vermijd onveilige verbindingen waardoor iemand aanmeldingsgegevens kan onderscheppen terwijl deze onderweg zijn.

Deze bedrijfseigenaar heeft al deze dingen gedaan. Maar zolang klantenondersteuningsteams in staat zijn om van account te veranderen of gevoelige informatie op te zoeken, zal er altijd een zwakke schakel zijn in de metaforische omheining rond persoonlijke gegevens.

Facebook heeft nog niet gereageerd op interviewverzoeken over deze zaak, maar we zullen dit verhaal bijwerken wanneer dit het geval is.