Facebook的技术支持部门中存在人为错误。一名黑客通过社会工程学攻击使用一个假护照成功地征用了一个Facebook用户的资料。

攻击发生在6月26日,当时一名不明身份的袭击者冒充亚伦·汤普森(一个居住在美国密歇根州的合法居民和Facebook用户)联系Facebook的支持团队。

黑客的原始消息写道: “嗨,我没有了访问我的移动电话号码的权限。请关闭代码生成器和登录我的帐户的批准。谢谢。”

作为回应,Facebook给黑客提供了一些如何恢复访问的建议。他们还告诉汤普森的假扮者如果他仍然不能访问他的个人资料的话,可以向Facebook提供两个东西进行认证:身份证的扫描照片和他所经历的问题的描述。

攻击者用下面这个假护照回复了Facebook的支持团队:

Facebook本可以很轻松地确定护照上提供的所有的细节与真实的亚伦·汤普森的个人信息不符。不过,这对网站的支持人员来说已经足以,他禁用了汤普森的登录设置,并且批准授予了黑客访问帐户的权限。

Facebook给汤普森个人资料上的电子邮件地址发送消息解释了他的帐户设置的变化:

就在那时,汤普森才知道他被黑客攻击了。但是,到那时,攻击者已经获得了汤普森的帐户,包括他在Facebook上管理的多个商务页面的访问权限。

Motherboard报道说汤普森相信黑客攻击他是为了锁定他的页面进行金钱勒索。

但是攻击者并没有做这样的事情。相反,他只是向被攻击用户的几个朋友发出了几条消息。最值得注意的是,他把他的生殖器照片发给了受害者的女朋友。

汤普森联系了Facebook的支持部门,不过最初在解决这件事情时他经历了一些困难。这令他十分沮丧,所以他决定在Reddit分享他的故事,他说他对黑客的“公然骚扰”感到“非常震惊”,而且黑客还冒犯了他和他的社交圈。

“@facebook我知道这是不容易的,但有人能帮帮我怎么解决这件事情吗?可以发送邮件到nekochanfbg@gmail.com”

——2016年6月28日发表于Yhu(@yhuthere)

此后不久,Facebook的支持团队快速的帮助汤普森恢复了访问他的帐户和商务页面的权限。

Facebook的一位发言人表示,这一事件不应该再次发生: “接受这个ID是一个错误,因为它违反了我们的内部政策,这种情况不是常态。”

显然,不管有多少安全特性可以使用在我们的账户上,包括两步认证机制(2SV),人为错误仍然可以威胁到我们的账户安全。

这就是为什么像Facebook这样的公司应该不断地审查并更新他们的安全政策,更不用说定期培训他们的员工不为像锁定汤普森的账户这样的社会工程攻击迷惑了。