Facebookのカスタマーサポートチームが、誰かがあなたのアカウントに侵入するのを助けます。
RedditユーザーのSquidWhaleは、誰かが自分のFacebookアカウントのメールアドレス、パスワード、および2要素認証設定を、顧客サポートチームへのメッセージに偽装するだけで変更できたと主張しています。
メッセージはFacebookアカウントに使用されている電子メールアドレスからも送信されず、アカウントが本当に自分に属していることを証明するようハッカーに依頼した後、カスタマーサポート担当者は誤った身元確認を受け入れました。
ハッカーがアカウントにアクセスするのに必要なのはこれだけです。それが完了したら、彼はすべてのログイン情報を変更し、アカウント所有者の事業に向けられたいくつかのFacebookページを削除し、そして正当な所有者の婚約者にディック写真を送りました。
事件全体は開始から終了まで4時間かかりました。ハッカーがアカウントの所有者のメールアドレスやパスワードを持っていなくてもかまいません。アカウント所有者が2要素認証を有効にしていても、問題ありません。
重要なことは、Facebookのカスタマーサポートが、間違った住所からの電子メールで、電話を持っていない、間違ったIDを提供している、と表示されているにもかかわらず、これらの設定を変更しようとしたことです。
これはすべてソーシャルエンジニアリングと呼ばれる技術のおかげです。暗号化を破ったり、データを盗んだり、その他の方法で技術情報を使って他の人の情報にアクセスするのではなく、ソーシャルエンジニアリングは説得力のある嘘をつくことに頼っています。
からこのビデオを見てください 融合 「The Real Future」は、泣いている赤ちゃんのYouTubeのクリップとドラマチックな演技だけで、編集者のKevin Rooseの電話アカウントにアクセスできる女性を表しています。
ソーシャルエンジニアリングに対して脆弱なのはFacebookだけではありません。今年初め、アマゾンは偽装している人に顧客の個人情報を渡したと非難されました。
つい最近、公民権活動家のDeRay McKessonのTwitterアカウントがソーシャルエンジニアリングを介して盗まれた。ハッカーはベライゾンへの電話でMcKessonになりすまし、自分の番号に関連付けられているSIMカードを変更してから、そのアクセスを使用してMcKessonのアカウントで2要素認証を回避しました。
SquidWhaleは最終的に彼のアカウントへのアクセスを許可されました。 McKessonのTwitterアカウントが彼に返されました。しかし、それは彼らが彼ら自身を防ごうとしたにもかかわらず彼らが重要なサービスへのアクセスを失ったという事実を変えません。
オンラインで身を守るためにできることは、そんなに多くの人々にしかできません。強力でユニークなパスワードを使用してください。これらのひどいパスワードを使わないでください。二要素認証を設定します。転送中に誰かがログインの詳細を傍受する可能性がある安全でない接続を避けます。
この事業主は、これらすべてを行いました。しかし、カスタマーサポートチームがアカウントを変更したり機密情報を調べたりすることができる限り、個人データを取り巻く比喩的な垣根には常に弱い関連性があります。
Facebookはこの事件についてのインタビューの要求にまだ応答していませんが、それが行われたらこの記事を更新します。