Czy mechanizmy Facebooka nie pozwalają na odzyskanie utraconego konta?
Osoba z mojej rodziny doświadczyła w ostatnich dniach przejęcia facebookowego konta. Prawdopodobnie hasło, którego używała na FB było takie samo, jak używane na jakiejś innej stronie internetowej, z której nastąpił wyciek. Opiszę jak wyglądała utrata konta oraz jakie kroki zostały podjęte celem jego odzyskania oraz dlaczego okazały się nieskuteczne. Może ktoś z Was miał podobny problem i wspomoże jakąś radą.
  1. Ktoś uzyskał dostęp do konta FB, z wykorzystaniem loginu (maila) i hasła, które wyciekły. Użytkownik otrzymuje od FB wiadomość "Czy hasło zostało przed chwilą zmienione przez Ciebie?"
  2. Kilka minut później użytkownik otrzymuje maila "Czy został przez Ciebie dodany adres e-mail?" z informację, że nowy adres mailowy został przypisany do konta
  3. Chwilę później jeszcze jedna wiadomość: "Czy przed chwilą usunąłeś swój adres e-mail?".
  4. Następnego dnia użytkownik loguje się na swoje konto mailowe i widzi wszystkie trzy wiadomości. Wszystkie wiadomości zawierają przycisk "To nie ja", którym teoretycznie można zaprzeczyć chęci zmiany hasła albo dodaniu/usunięciu maila do swojego konta. Niestety, nie jest to już możliwe, gdyż hasło zostało zmienione. Facebook nie wykrywa nawet, że poprzedni mail jest przypisany do jakiegokolwiek konta.
  5. Pozostaje zatem próba skorzystania z opcji w stylu "nie pamiętam hasła" czy "odzyskaj konto". Hasła oczywiście nie zmienimy, bo do tego celu trzeba by mieć dostęp do nowego maila - ustawionego przez osobę, która przejęła konto. Na dodatek, osoba ta najwyraźniej włączyła też dodatkową autentykację kodami przy logowaniu.
  6. Użytkownik postępuje zgodnie z rekomendowaną przez Facebooka procedurą odzyskiwania konta. Przy pomocy odpowiedniego formularza przesyła skany dowodu osobistego i czeka na weryfikację.
  7. HURRA, udało się - jest mail - "Dziękujemy za potwierdzenie tożsamości. Możesz kliknąć poniższy przycisk, aby odzyskać dostęp do konta.". Okazuje się jednak, że... po kliknięciu tego przycisku trzeba się zalogować. A więc wracamy do punktu wyjścia. Ah, w mailu przychodzi też specjalny "kod odblokowujący", o którym napisane jest, że "Możesz również przejść do Facebooka i użyć tego kodu jako hasła", z tym, że ów kod zupełnie nie działa. Zarówno przy próbie użycia jako loginu starego maila (pojawia się wtedy informacja, że nie znaleziono konta o takim loginie), jak i przy próbie wykorzystania nowego maila (należącego do obcej osoby - wtedy z kolei pojawia się komunikat, że hasło nie pasuje)
  8. Przychodzi też mail o tytule "Dodano nowy adres e-mail na Facebook" i - to jest naprawdę hit - dodanie nowego adresu mail (tego swojego, który był ustawiony poprzednio, przed atakiem, i który został dodany w wyniku procedury weryfikacji dowodu osobistego) - należy tym razem potwierdzić klikając przycisk w mailu. Ale potwierdzić się nie da bo przecież nie możemy się zalogować.
Reasumując - trochę brak mi słów na mechanizmy, których używa Facebook. Zastanawiam się, dlaczego niektóre rzeczy nie mogły zostać rozwiązane nieco inaczej. Np.:
* Gdy otrzymujemy wiadomość, że ktoś dodał do naszego konta nowy adres e-mail, to miło byłoby, gdyby nie był on od razu aktywny, a wymagał potwierdzenia przy użyciu wcześniejszego maila (lub chociaż odczekania dłużej zanim stanie się aktywny)
* Gdy tożsamość użytkownika ostanie zweryfikowana pomyślnie, to żądany adres e-mail powinien zostać przypisany automatycznie do konta, a nie wymagać dodatkowego (i niemożliwego do wykonania) potwierdzenia przez użytkownika.
* Wiadomo, że cały support facebooka to boty, ale szkoda że nie ma żadnej możliwości "odwołania się"/przesłania feedbacku odnośnie zakończonej procedury odzyskiwania konta.
A na koniec ważny wniosek na przyszłość: usilnie należy polecać wszystkim korzystanie z uwierzytelniania dwuskładnikowego.
SuperSzturmowiec

gdyby nie był on od razu aktywny, a wymagał potwierdzenia przy użyciu wcześniejszego maila (

  • ta opcja odpada bo co zrobisz jak miałeś włamanie na adres email i nie jesteś w stanie go odzyskać?
informatyk

@SuperSzturmowiec: w takiej sytuacji FB mógłby pozwalać na zmianę maila po uprzedniej weryfikacji tożsamości. Zresztą to tylko gdybanie, ale uważam, że fakt, iż logując się z lokalizacji, która nigdy wcześniej nie była używana można w ciągu kilku minut usunąć starego maila, dodać nowego i zmienić hasło nie jest działaniem na korzyść użytkowników (biorąc pod uwagę brak normalnego supportu i kontaktu z zarządzającymi Facebookiem, pozwalającym na poprawną obsługę sytuacji nadzwyczajnych).

Marchew

@informatyk Kilku moich znajomych straciło FB, gierki, poczty i inne dokładnie w ten sposób: jedno proste hasło do wszystkiego. Niestety ale to jest proszenie się o kłopoty. Tak więc to na was, doświadczonych userach leży obowiązek uświadomienia i przeszkolenia najbliższych.

ps. pół gminy używa domyślnego hasła do profilu zaufanego wygenerowanego przez "panią w okienku". Chyba nie muszę dodawać że hasło jest tak prostym algorytmem, że znając własne, znamy również hasła wszystkich sąsiadów...

SuperSzturmowiec

@Marchew też tak miałem że jedno hasło do większości i straciłem mejla kiedyś tam. Teraz tez mam jedno hasło ale tylko do pierdół typu hejto i inne śmieszne stronki

tellet

@informatyk


Przy pomocy odpowiedniego formularza przesyła skany dowodu osobistego i czeka na weryfikację.


Jeśli to konto nie było związane z prowadzeniem biznesu, to pozdro z tym intelektem użytkownika xD

skan dowodu żeby zalogować się na konto do pierdów na fejsiku xD litości...

Zaloguj się aby komentować