Czy mechanizmy Facebooka nie pozwalają na odzyskanie utraconego konta?
Osoba z mojej rodziny doświadczyła w ostatnich dniach przejęcia facebookowego konta. Prawdopodobnie hasło, którego używała na FB było takie samo, jak używane na jakiejś innej stronie internetowej, z której nastąpił wyciek. Opiszę jak wyglądała utrata konta oraz jakie kroki zostały podjęte celem jego odzyskania oraz dlaczego okazały się nieskuteczne. Może ktoś z Was miał podobny problem i wspomoże jakąś radą.

1. Ktoś uzyskał dostęp do konta FB, z wykorzystaniem loginu (maila) i hasła, które wyciekły. Użytkownik otrzymuje od FB wiadomość "Czy hasło zostało przed chwilą zmienione przez Ciebie?"
   
2. Kilka minut później użytkownik otrzymuje maila "Czy został przez Ciebie dodany adres e-mail?" z informację, że nowy adres mailowy został przypisany do konta
   
3. Chwilę później jeszcze jedna wiadomość: "Czy przed chwilą usunąłeś swój adres e-mail?".
   
4. Następnego dnia użytkownik loguje się na swoje konto mailowe i widzi wszystkie trzy wiadomości. Wszystkie wiadomości zawierają przycisk "To nie ja", którym teoretycznie można zaprzeczyć chęci zmiany hasła albo dodaniu/usunięciu maila do swojego konta. Niestety, nie jest to już możliwe, gdyż hasło zostało zmienione. Facebook nie wykrywa nawet, że poprzedni mail jest przypisany do jakiegokolwiek konta.
   
5. Pozostaje zatem próba skorzystania z opcji w stylu "nie pamiętam hasła" czy "odzyskaj konto". Hasła oczywiście nie zmienimy, bo do tego celu trzeba by mieć dostęp do nowego maila - ustawionego przez osobę, która przejęła konto. Na dodatek, osoba ta najwyraźniej włączyła też dodatkową autentykację kodami przy logowaniu.
   
6. Użytkownik postępuje zgodnie z rekomendowaną przez Facebooka procedurą odzyskiwania konta. Przy pomocy odpowiedniego formularza przesyła skany dowodu osobistego i czeka na weryfikację.
   
7. HURRA, udało się - jest mail - "Dziękujemy za potwierdzenie tożsamości. Możesz kliknąć poniższy przycisk, aby odzyskać dostęp do konta.". Okazuje się jednak, że... po kliknięciu tego przycisku trzeba się zalogować. A więc wracamy do punktu wyjścia. Ah, w mailu przychodzi też specjalny "kod odblokowujący", o którym napisane jest, że "Możesz również przejść do Facebooka i użyć tego kodu jako hasła", z tym, że ów kod zupełnie nie działa. Zarówno przy próbie użycia jako loginu starego maila (pojawia się wtedy informacja, że nie znaleziono konta o takim loginie), jak i przy próbie wykorzystania nowego maila (należącego do obcej osoby - wtedy z kolei pojawia się komunikat, że hasło nie pasuje)
   
8. Przychodzi też mail o tytule "Dodano nowy adres e-mail na Facebook" i - to jest naprawdę hit - dodanie nowego adresu mail (tego swojego, który był ustawiony poprzednio, przed atakiem, i który został dodany w wyniku procedury weryfikacji dowodu osobistego) - należy tym razem potwierdzić klikając przycisk w mailu. Ale potwierdzić się nie da bo przecież nie możemy się zalogować.
   

Reasumując - trochę brak mi słów na mechanizmy, których używa Facebook. Zastanawiam się, dlaczego niektóre rzeczy nie mogły zostać rozwiązane nieco inaczej. Np.:
* Gdy otrzymujemy wiadomość, że ktoś dodał do naszego konta nowy adres e-mail, to miło byłoby, gdyby nie był on od razu aktywny, a wymagał potwierdzenia przy użyciu wcześniejszego maila (lub chociaż odczekania dłużej zanim stanie się aktywny)
* Gdy tożsamość użytkownika ostanie zweryfikowana pomyślnie, to żądany adres e-mail powinien zostać przypisany automatycznie do konta, a nie wymagać dodatkowego (i niemożliwego do wykonania) potwierdzenia przez użytkownika.
* Wiadomo, że cały support facebooka to boty, ale szkoda że nie ma żadnej możliwości "odwołania się"/przesłania feedbacku odnośnie zakończonej procedury odzyskiwania konta.
A na koniec ważny wniosek na przyszłość: usilnie należy polecać wszystkim korzystanie z uwierzytelniania dwuskładnikowego.