Интересный случай перехвата контроля над аккаунтом попал в поле зрения издания Vice Motherboard. Этот инцидент – яркий пример того, для чего нужна двухфакторная аутентификация. Также случившееся наглядно показывает, что сколь бы ни были хороши механизмы безопасности, списывать со счетов банальный человеческий фактор не стоит.

В минувший понедельник двадцатитрехлетний Аарон Томпсон (Aaron Thompson) из Мичигана обнаружил, что потерял доступ к собственному аккаунту в Facebook. Еmail и телефонный номер, к которому была привязана учетная запись, сменились.

Томпсон признается, что запаниковал и бросился проверять свой почтовый ящик, логически рассудив, что, скорее всего, почту взломали. Пароль для почтового ящика сработал, здесь злоумышленники ничего не меняли. Однако в истории сообщений пострадавший обнаружил интересную цепочку писем: кто-то переписывался со службой поддержки Facebook от его лица. Хакер был предельно вежлив:

«Здравствуйте. У меня больше нет доступа к старому мобильному телефону. Не будете ли вы так любезны, отключить для моего аккаунта генератор кодов и подтверждение логина. Спасибо».

В ответ на это сообщение злоумышленник получил автоматический ответ, в котором его уведомили, что если он более не может использовать генератор кодов, то единственный способ вернуть себе контроль над аккаунтом, — это отправить в поддержку социальной сети фотографию или скан какого-либо документа, удостоверяющего личность. То есть нужно было доказать, что он является Аароном Томпсоном.

1467133006940730
Поддельный скан фальшивого паспорта

Хакер не растерялся и предоставил поддержке фальшивый скан фальшивого паспорта (для создания подобных «документов» даже существуют специальные сервисы). Кроме имени и фамилии ни одна другая деталь в этом документе не совпадала с данными настоящего Аарона Томпсона. Неизвестного сотрудника поддержки Facebook, который проверял документ, все это совсем не смутило. Поддельного изображения хватило для отключения всех механизмов защиты, после чего аккаунт Томпсона был передан в руки хакера.

«Спасибо, что подтвердили вашу личность. Теперь вы можете войти в свой аккаунт. Мы также отключили функцию подтверждения логина, чтобы предотвратить блокировку учетной записи в будущем», — ответила техническая поддержка.

Прочитать полную версию переписки хакера с сотрудниками социальной сети можно здесь.

Настоящий Аарон Томпсон держит в Facebook сразу ряд страниц, включая, к примеру, группу One Million Gamers. Суммарно эти страницы насчитывают несколько миллионов лайков. Перспектива все это потерять, совершенно не обрадовала законного владельца. Также Томпсон пришел к выводу, что злоумышленником двигала жажда наживы, и хакер попросту собирался заняться монетизацией популярных групп.

Ознакомившись с вышеописанной перепиской, пострадавший пришел в ужас. Ему пришлось сообщить Facebook, что человек, приславший им паспорт – это не он, и произошла ошибка. А взломщик тем временем рассылал некоторым друзьям Томпсона фотографии гениталий, а девушке пострадавшего сообщил, что она «шлюха» и попросил у нее обнаженные фото.

В итоге Томпсон пытался восстановить доступ к своей учетной записи на протяжении всего понедельника, но не преуспел. Отчаявшись, он написал эмоциональный пост на Reddit, который был озаглавлен: «[Сегодня] я узнал, что кто угодно может сменить привязанные к Facebook email, пароль и двухфакторную верификацию, просто попросив Facebook отключить подтверждение логина и отправив им фальшивое удостоверение личности».

После публикации на Reddit на эту историю обратили внимание СМИ. Журналисты связались с представителями Facebook и попросили комментарий об инциденте. Лишь утром вторника социальная сеть ответила, что в проблеме разбираются, аккаунт Томпсона уже находится под защитой, и ведется работа по передаче доступа к учетной записи в руки законного владельца.

«Принятие удостоверения личности было ошибкой и является нарушением нашей внутренней политики, данный случай нельзя считать нормой», — сообщили представители Facebook.

От дальнейших комментариев в Facebook отказались, не объяснив ничего об означенной «внутренней политике».

По следам данного инцидента эксперты и исследователи не в первый раз заговорили о том, что было бы очень полезно иметь цифровые удостоверения личности, а не использовать в XXI веке сканы или фотографии документов, пересылая их по почте. Так, эксперт в области информационной безопасности Пер Торсхейм (Per Thorsheim) поясняет, что в Норвегии у каждого гражданина есть цифровое удостоверение личности, которое может использоваться в качестве криптографической подписи для документов и в ряде других случаев. Похожим образом работают и национальные удостоверения личности в Эстонии.



7 комментариев

  1. vpro

    30.06.2016 at 10:51

    Почему он хакер? Что он хакнул?

  2. h0lera

    30.06.2016 at 16:50

    может ещё анализ мочи и крови им предоставлять для криптографической подписи? бред. мало ли что ещё делают в эстонии? нам это зачем?

    • schoolboy

      30.06.2016 at 21:35

      Ты не волнуйся. Скоро получишь универсальную электронную карту, а там уж и анализы все будут и банковская история и прочие приятные вещи.

  3. mrbl

    01.07.2016 at 12:54

    Между прочем, у нас в России с 2013 года можно обзавестить электронным удостоверением личности. Оно называется Универсальная Электронная Карта (uecard.ru). Выдается бесплатно в банках-партнерах, и вместе с картой бесплатно выдается USB-устройство для ее чтения. С помощью карты можно сформировать цифровую подпись, которая юридически считается эквивалентом собственноручной подписи.

    Вот только я не знаю, где это сейчас используется, кроме как на сайте Госуслуги…

    • A.T.

      01.07.2016 at 20:06

      Раз ты такой умник, иди, заведи себе это говно и трахайся с россиянским пофигизмом, уровнем сервиса и хамством.

Оставить мнение