Dukungan pelanggan Facebook mengaktifkan peretasan akun

Tim dukungan pelanggan Facebook akan membantu seseorang membobol akun Anda.

Pengguna Reddit SquidWhale mengklaim bahwa seseorang dapat mengubah alamat email, kata sandi, dan pengaturan otentikasi dua faktor dari akun Facebook-nya hanya dengan menyamar sebagai pesan di tim dukungan pelanggan.

Pesan bahkan tidak dikirim dari alamat email yang digunakan untuk akun Facebook, dan perwakilan dukungan pelanggan menerima identifikasi yang salah setelah mereka meminta peretas untuk membuktikan bahwa akun itu benar-benar milik mereka.

Hanya itu yang diperlukan peretas untuk mendapatkan akses ke akun. Setelah itu selesai, ia mengubah semua detail login, menghapus beberapa halaman Facebook yang ditujukan untuk bisnis pemilik akun, dan mengirim foto kontol ke tunangan pemilik yang sah.

Seluruh urusan memakan waktu empat jam dari awal hingga selesai. Tidak masalah bahwa peretas tidak memiliki alamat email atau kata sandi pemilik akun. Sial, tidak masalah bahwa pemilik akun telah mengaktifkan otentikasi dua faktor.

Yang penting adalah fakta bahwa dukungan pelanggan Facebook bersedia untuk mengubah pengaturan ini meskipun ada semua tanda bahaya - mengirim email dari alamat yang salah, mengklaim tidak memiliki telepon, memberikan ID yang salah - yang muncul.

Ini semua berkat teknik yang disebut rekayasa sosial. Alih-alih memecah enkripsi, mencuri data, atau menggunakan sihir teknis untuk mendapatkan akses ke informasi seseorang, rekayasa sosial hanya mengandalkan mengatakan kebohongan yang meyakinkan.

Tonton saja video ini dari Fusi "The Real Future," yang menggambarkan seorang wanita mendapatkan akses ke akun telepon editor Kevin Roose dengan tidak lebih dari klip video bayi YouTube yang menangis dan akting dramatis:

Facebook bukan satu-satunya perusahaan yang rentan terhadap rekayasa sosial. Awal tahun ini, Amazon dituduh memberikan informasi pribadi pelanggan kepada seseorang yang menyamar sebagai mereka.

Baru-baru ini, akun Twitter aktivis hak-hak sipil DeRay McKesson dicuri melalui rekayasa sosial. Peretas berpose sebagai McKesson dalam panggilan ke Verizon, mengubah kartu SIM yang terkait dengan nomornya, dan kemudian menggunakan akses itu untuk menyiasati otentikasi dua faktor pada akun McKesson.

SquidWhale akhirnya diberikan akses ke akunnya. Akun Twitter McKesson dikembalikan kepadanya. Tetapi itu tidak mengubah fakta bahwa mereka kehilangan akses ke layanan-layanan penting walaupun mereka berusaha membela diri.

Hanya ada begitu banyak yang dapat dilakukan orang untuk melindungi diri mereka sendiri secara online. Gunakan kata sandi yang kuat dan unik. Jangan gunakan salah satu dari kata sandi yang mengerikan ini. Siapkan otentikasi dua faktor. Hindari koneksi yang tidak aman yang memungkinkan seseorang untuk mencegat detail login saat sedang transit.

Pemilik bisnis ini melakukan semua hal itu. Namun selama tim dukungan pelanggan dapat mengubah akun atau mencari informasi sensitif akan selalu ada hubungan yang lemah di pagar metaforis seputar data pribadi.

Facebook belum menanggapi permintaan wawancara tentang kasus ini tetapi kami akan memperbarui berita ini ketika ada.