Интересный случай перехвата контроля над аккаунтом попал в поле зрения издания Vice Motherboard. Этот инцидент – яркий пример того, для чего нужна двухфакторная аутентификация. Также случившееся наглядно показывает, что сколь бы ни были хороши механизмы безопасности, списывать со счетов банальный человеческий фактор не стоит.

В минувший понедельник двадцатитрехлетний Аарон Томпсон (Aaron Thompson) из Мичигана обнаружил, что потерял доступ к собственному аккаунту в Facebook. Еmail и телефонный номер, к которому была привязана учетная запись, сменились.

Томпсон признается, что запаниковал и бросился проверять свой почтовый ящик, логически рассудив, что, скорее всего, почту взломали. Пароль для почтового ящика сработал, здесь злоумышленники ничего не меняли. Однако в истории сообщений пострадавший обнаружил интересную цепочку писем: кто-то переписывался со службой поддержки Facebook от его лица. Хакер был предельно вежлив:

«Здравствуйте. У меня больше нет доступа к старому мобильному телефону. Не будете ли вы так любезны, отключить для моего аккаунта генератор кодов и подтверждение логина. Спасибо».

В ответ на это сообщение злоумышленник получил автоматический ответ, в котором его уведомили, что если он более не может использовать генератор кодов, то единственный способ вернуть себе контроль над аккаунтом, — это отправить в поддержку социальной сети фотографию или скан какого-либо документа, удостоверяющего личность. То есть нужно было доказать, что он является Аароном Томпсоном.

1467133006940730
Поддельный скан фальшивого паспорта

Хакер не растерялся и предоставил поддержке фальшивый скан фальшивого паспорта (для создания подобных «документов» даже существуют специальные сервисы). Кроме имени и фамилии ни одна другая деталь в этом документе не совпадала с данными настоящего Аарона Томпсона. Неизвестного сотрудника поддержки Facebook, который проверял документ, все это совсем не смутило. Поддельного изображения хватило для отключения всех механизмов защиты, после чего аккаунт Томпсона был передан в руки хакера.

«Спасибо, что подтвердили вашу личность. Теперь вы можете войти в свой аккаунт. Мы также отключили функцию подтверждения логина, чтобы предотвратить блокировку учетной записи в будущем», — ответила техническая поддержка.

Прочитать полную версию переписки хакера с сотрудниками социальной сети можно здесь.

Настоящий Аарон Томпсон держит в Facebook сразу ряд страниц, включая, к примеру, группу One Million Gamers. Суммарно эти страницы насчитывают несколько миллионов лайков. Перспектива все это потерять, совершенно не обрадовала законного владельца. Также Томпсон пришел к выводу, что злоумышленником двигала жажда наживы, и хакер попросту собирался заняться монетизацией популярных групп.

Ознакомившись с вышеописанной перепиской, пострадавший пришел в ужас. Ему пришлось сообщить Facebook, что человек, приславший им паспорт – это не он, и произошла ошибка. А взломщик тем временем рассылал некоторым друзьям Томпсона фотографии гениталий, а девушке пострадавшего сообщил, что она «шлюха» и попросил у нее обнаженные фото.

В итоге Томпсон пытался восстановить доступ к своей учетной записи на протяжении всего понедельника, но не преуспел. Отчаявшись, он написал эмоциональный пост на Reddit, который был озаглавлен: «[Сегодня] я узнал, что кто угодно может сменить привязанные к Facebook email, пароль и двухфакторную верификацию, просто попросив Facebook отключить подтверждение логина и отправив им фальшивое удостоверение личности».

После публикации на Reddit на эту историю обратили внимание СМИ. Журналисты связались с представителями Facebook и попросили комментарий об инциденте. Лишь утром вторника социальная сеть ответила, что в проблеме разбираются, аккаунт Томпсона уже находится под защитой, и ведется работа по передаче доступа к учетной записи в руки законного владельца.

«Принятие удостоверения личности было ошибкой и является нарушением нашей внутренней политики, данный случай нельзя считать нормой», — сообщили представители Facebook.

От дальнейших комментариев в Facebook отказались, не объяснив ничего об означенной «внутренней политике».

По следам данного инцидента эксперты и исследователи не в первый раз заговорили о том, что было бы очень полезно иметь цифровые удостоверения личности, а не использовать в XXI веке сканы или фотографии документов, пересылая их по почте. Так, эксперт в области информационной безопасности Пер Торсхейм (Per Thorsheim) поясняет, что в Норвегии у каждого гражданина есть цифровое удостоверение личности, которое может использоваться в качестве криптографической подписи для документов и в ряде других случаев. Похожим образом работают и национальные удостоверения личности в Эстонии.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    7 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии