Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Przejęli facebookowy profil Rafała Ziemkiewicza… symulując włamanie

13 listopada 2020, 19:22 | W biegu | komentarze 4

Pan Rafał poinformował o problemie za pośrednictwem Twittera:

Co w zasadzie niemal wszystko jest tu jasne – podpucha w postaci „rzekomego włamania” – trzeba szybko reagować, tj zmienić hasło! (oczywiście pan Rafał podał hasło nie w Facebooku ale do chińskich amatorów kont o dużym zasięgu).

Jakie rady? Przede wszystkim trzeba się zastanowić gdzie podajemy nasz login i hasło. Po drugie warto skonfigurować dwuczynnikowe uwierzytelnienie (w Facebooku to zakładka: Bezpieczeństwo i Logowanie).

Po ewentualnym przejęciu naszego hasła, atakujący nie będzie miał możliwości zalogowania się (bo nie ma dostępu do drugiego – poza hasłem – czynnika uwierzytelniającego – np. kodu z SMSa).

Obecnie konto już jest pod kontrolą „standardowego” właściciela:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. asdsad

    > Po ewentualnym przejęciu naszego hasła, atakujący nie będzie miał możliwości zalogowania się (bo nie ma dostępu do drugiego – poza hasłem – czynnika uwierzytelniającego – np. kodu z SMSa).

    Jak to nie będzie miał? Jeśli jego fiszowa strona będzie obsługiwać drugi składnik w postaci SMS-a, to przecież ofiara grzecznie wpisze kod z SMS-a. Który to kod, automat wklepie na prawdziwej stronie pejsbuka, aby ją przejąć.
    Jedynie klucza U2F nie da się „przedłużyć”. Przynajmniej póki co.

    Odpowiedz
    • Masz rację, choć w skrócie: zdecydowanie lepsze SMSowe 2FA, niż brak 2FA

      Odpowiedz
      • asdsad

        Zgadza się.
        Choć odchodząc od tematu Fb, wydaje mi się, że np. w Guglu, obecność 2FA zmiękcza pozostałe mechanizmy bezpieczeństwa, na zasadzie „wpisał jakiś kod, więc olejmy to, że loguje się na innym IP z Kazachstanu, z nietypowej przeglądarki, o 5 nad ranem”.
        Już nie mówiąc o niektórych metodach 2FA np. Google prompt, który można zatwierdzić niemal odruchowo jak wyskoczy budząc nas w środku nocy. W dodatku nie można pozbyć sie prompta, jeżeli mamy zalogowany jakikolwiek telefon z Androidem, chyba że włączymy Advanced Security, ale wtedy zostaną chyba tylko klucze U2F.

        Odpowiedz
  2. raj

    A ja powiem tak – jakby to spotkało przysłowiowego „zwykłego Kowalskiego”, a nie znanego publicystę (choć nie wiem czy Ziemkiewicza można tym mianem określić), to FB miałby go „gdzieś” i żadni „przyjaciele” ani w błyskawicznym, ani w ogóle w żadnym załatwieniu sprawy by mu nie pomogli. Pożegnałby się z kontem i tyle. Więc dokładnie tak samo powinno być w przypadku Ziemkiewicza.

    Odpowiedz

Odpowiedz