Udany social engineering na pracowników Facebooka – przejął cudze konto mimo dwuczynnikowego uwierzytelnienia

28 czerwca 2016, 20:53 | W biegu | 1 komentarz
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

TL;DR:

Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem:

pass

Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila:

Hi. I don’t have anymore access on my mobile phone number. Kindly turn off code generator and login approval from my account. Thanks.

Następnie pracownicy Facebooka poprosili o dokument ze zdjęciem identyfikujący właściciela konta, a po poprzesłaniu wyżej wspomnianego fejka, atakujący otrzymał taką wiadomość:

Thanks for verifying your identity. You should now be able to log into your account.

Ofiara opisała całość sprawy na reddicie, a na szczęście finalnie odzyskała dostęp do swojego konta otrzymując też przeprosiny od FB:

Accepting this ID was a mistake that violated our own internal policies and this case is not the norm.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. No i tyle jest warte 2FA co jego brak, skoro końcowo i tak człowiek daje „ciała”.

    Odpowiedz

Odpowiedz