Udany social engineering na pracowników Facebooka – przejął cudze konto mimo dwuczynnikowego uwierzytelnienia

TL;DR:

Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem:

Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila:

Hi. I don’t have anymore access on my mobile phone number. Kindly turn off code generator and login approval from my account. Thanks.

Następnie pracownicy Facebooka poprosili o dokument ze zdjęciem identyfikujący właściciela konta, a po poprzesłaniu wyżej wspomnianego fejka, atakujący otrzymał taką wiadomość:

Thanks for verifying your identity. You should now be able to log into your account.

Ofiara opisała całość sprawy na reddicie, a na szczęście finalnie odzyskała dostęp do swojego konta otrzymując też przeprosiny od FB:

Accepting this ID was a mistake that violated our own internal policies and this case is not the norm.

–ms