Piratage de compte activé pour le support client Facebook

L’équipe de support client de Facebook aidera quelqu'un à entrer dans votre compte.

SquidWhale, un utilisateur de Reddit, affirme que quelqu'un a pu modifier l'adresse électronique, le mot de passe et les paramètres d'authentification à deux facteurs de son compte Facebook en se faisant passer pour lui dans des messages adressés à l'équipe de support technique.

Les messages n’étaient même pas envoyés à partir de l’adresse e-mail utilisée pour le compte Facebook, et le représentant du support client a accepté une identification erronée après avoir demandé au pirate de prouver que le compte leur appartenait réellement.

C’est tout ce qui a été nécessaire pour que le pirate informatique puisse accéder au compte. Cela fait, il a modifié toutes les informations de connexion, supprimé plusieurs pages Facebook consacrées aux affaires du titulaire du compte et envoyé une photo à la fiancée du propriétaire légitime.

Toute l'affaire a duré quatre heures du début à la fin. Peu importait que le pirate informatique ne dispose pas de l’adresse e-mail ou du mot de passe du titulaire du compte. Enfer, peu importait que le propriétaire du compte ait activé l’authentification à deux facteurs.

Le service clientèle de Facebook était disposé à modifier ces paramètres en dépit de tous les drapeaux rouges - email envoyé par la mauvaise adresse, prétendant ne pas avoir de téléphone, fournissant le mauvais identifiant - qui est apparu.

Tout cela grâce à une technique appelée ingénierie sociale. Au lieu de casser le cryptage, de voler des données ou d’utiliser de toute autre manière la magie technique pour accéder aux informations d’une personne, l’ingénierie sociale repose simplement sur un mensonge convaincant.

Il suffit de regarder cette vidéo de La fusion "The Real Future", qui représente une femme qui accède au compte de téléphone de l'éditeur, Kevin Roose, avec rien de plus qu'un clip vidéo d'un bébé en pleurs et une comédie dramatique sur YouTube:

Facebook n'est pas la seule entreprise vulnérable à l'ingénierie sociale. Plus tôt cette année, Amazon a été accusé d’avoir divulgué les informations personnelles d’un client à une personne qui les imitait.

Plus récemment, le compte Twitter du militant des droits civils DeRay McKesson a été volé via l’ingénierie sociale. Le pirate informatique s’est fait passer pour McKesson lors d’un appel à Verizon, a changé la carte SIM associée à son numéro, puis a utilisé cet accès pour contourner l’authentification à deux facteurs du compte de McKesson.

SquidWhale a finalement été autorisé à accéder à ses comptes. Le compte Twitter de McKesson lui a été rendu. Mais cela ne change rien au fait qu’ils ont perdu l’accès à des services importants même s’ils ont essayé de se défendre.

Il n’ya que beaucoup de personnes qui peuvent se protéger en ligne. Utilisez des mots de passe forts et uniques. Ne pas utiliser un de ces mots de passe terribles. Configurez l'authentification à deux facteurs. Évitez les connexions non sécurisées qui pourraient permettre à une personne d’intercepter les informations de connexion en transit.

Ce propriétaire d'entreprise a fait toutes ces choses. Cependant, tant que les équipes de support client seront en mesure de modifier les comptes ou de rechercher des informations sensibles, il restera toujours un maillon faible dans la clôture métaphorique entourant les données personnelles.

Facebook n'a pas encore répondu aux demandes d'interviews concernant ce cas, mais nous mettrons à jour cette histoire le cas échéant.