Osoba z mojej rodziny doświadczyła w ostatnich dniach przejęcia facebookowego konta. Prawdopodobnie hasło, którego używała na FB było takie samo, jak używane na jakiejś innej stronie internetowej, z której nastąpił wyciek. Opiszę jak wyglądała utrata konta oraz jakie kroki zostały podjęte celem jego odzyskania oraz dlaczego okazały się nieskuteczne. Może ktoś z Was miał podobny problem i wspomoże jakąś radą.
-
Ktoś uzyskał dostęp do konta FB, z wykorzystaniem loginu (maila) i hasła, które wyciekły. Użytkownik otrzymuje od FB wiadomość "Czy hasło zostało przed chwilą zmienione przez Ciebie?"
-
Kilka minut później użytkownik otrzymuje maila "Czy został przez Ciebie dodany adres e-mail?" z informację, że nowy adres mailowy został przypisany do konta
-
Chwilę później jeszcze jedna wiadomość: "Czy przed chwilą usunąłeś swój adres e-mail?".
-
Następnego dnia użytkownik loguje się na swoje konto mailowe i widzi wszystkie trzy wiadomości. Wszystkie wiadomości zawierają przycisk "To nie ja", którym teoretycznie można zaprzeczyć chęci zmiany hasła albo dodaniu/usunięciu maila do swojego konta. Niestety, nie jest to już możliwe, gdyż hasło zostało zmienione. Facebook nie wykrywa nawet, że poprzedni mail jest przypisany do jakiegokolwiek konta.
-
Pozostaje zatem próba skorzystania z opcji w stylu "nie pamiętam hasła" czy "odzyskaj konto". Hasła oczywiście nie zmienimy, bo do tego celu trzeba by mieć dostęp do nowego maila - ustawionego przez osobę, która przejęła konto. Na dodatek, osoba ta najwyraźniej włączyła też dodatkową autentykację kodami przy logowaniu.
-
Użytkownik postępuje zgodnie z rekomendowaną przez Facebooka procedurą odzyskiwania konta. Przy pomocy odpowiedniego formularza przesyła skany dowodu osobistego i czeka na weryfikację.
-
HURRA, udało się - jest mail - "Dziękujemy za potwierdzenie tożsamości. Możesz kliknąć poniższy przycisk, aby odzyskać dostęp do konta.". Okazuje się jednak, że... po kliknięciu tego przycisku trzeba się zalogować. A więc wracamy do punktu wyjścia. Ah, w mailu przychodzi też specjalny "kod odblokowujący", o którym napisane jest, że "Możesz również przejść do Facebooka i użyć tego kodu jako hasła", z tym, że ów kod zupełnie nie działa. Zarówno przy próbie użycia jako loginu starego maila (pojawia się wtedy informacja, że nie znaleziono konta o takim loginie), jak i przy próbie wykorzystania nowego maila (należącego do obcej osoby - wtedy z kolei pojawia się komunikat, że hasło nie pasuje)
-
Przychodzi też mail o tytule "Dodano nowy adres e-mail na Facebook" i - to jest naprawdę hit - dodanie nowego adresu mail (tego swojego, który był ustawiony poprzednio, przed atakiem, i który został dodany w wyniku procedury weryfikacji dowodu osobistego) - należy tym razem potwierdzić klikając przycisk w mailu. Ale potwierdzić się nie da bo przecież nie możemy się zalogować.
* Gdy otrzymujemy wiadomość, że ktoś dodał do naszego konta nowy adres e-mail, to miło byłoby, gdyby nie był on od razu aktywny, a wymagał potwierdzenia przy użyciu wcześniejszego maila (lub chociaż odczekania dłużej zanim stanie się aktywny)
* Gdy tożsamość użytkownika ostanie zweryfikowana pomyślnie, to żądany adres e-mail powinien zostać przypisany automatycznie do konta, a nie wymagać dodatkowego (i niemożliwego do wykonania) potwierdzenia przez użytkownika.
* Wiadomo, że cały support facebooka to boty, ale szkoda że nie ma żadnej możliwości "odwołania się"/przesłania feedbacku odnośnie zakończonej procedury odzyskiwania konta.
A na koniec ważny wniosek na przyszłość: usilnie należy polecać wszystkim korzystanie z uwierzytelniania dwuskładnikowego.
gdyby nie był on od razu aktywny, a wymagał potwierdzenia przy użyciu wcześniejszego maila (
- ta opcja odpada bo co zrobisz jak miałeś włamanie na adres email i nie jesteś w stanie go odzyskać?
@SuperSzturmowiec: w takiej sytuacji FB mógłby pozwalać na zmianę maila po uprzedniej weryfikacji tożsamości. Zresztą to tylko gdybanie, ale uważam, że fakt, iż logując się z lokalizacji, która nigdy wcześniej nie była używana można w ciągu kilku minut usunąć starego maila, dodać nowego i zmienić hasło nie jest działaniem na korzyść użytkowników (biorąc pod uwagę brak normalnego supportu i kontaktu z zarządzającymi Facebookiem, pozwalającym na poprawną obsługę sytuacji nadzwyczajnych).
@informatyk Kilku moich znajomych straciło FB, gierki, poczty i inne dokładnie w ten sposób: jedno proste hasło do wszystkiego. Niestety ale to jest proszenie się o kłopoty. Tak więc to na was, doświadczonych userach leży obowiązek uświadomienia i przeszkolenia najbliższych.
ps. pół gminy używa domyślnego hasła do profilu zaufanego wygenerowanego przez "panią w okienku". Chyba nie muszę dodawać że hasło jest tak prostym algorytmem, że znając własne, znamy również hasła wszystkich sąsiadów...
@Marchew też tak miałem że jedno hasło do większości i straciłem mejla kiedyś tam. Teraz tez mam jedno hasło ale tylko do pierdół typu hejto i inne śmieszne stronki
@informatyk
Przy pomocy odpowiedniego formularza przesyła skany dowodu osobistego i czeka na weryfikację.
Jeśli to konto nie było związane z prowadzeniem biznesu, to pozdro z tym intelektem użytkownika xD
skan dowodu żeby zalogować się na konto do pierdów na fejsiku xD litości...
Zaloguj się aby komentować