FYI.

This story is over 5 years old.

Tech

Facebook overtuigen om toegang tot een account te krijgen is bijzonder makkelijk

Aaron Thompson verloor toegang tot zijn account toen een hacker zich zich als hem voordeed met een email naar de klantenservice en een namaakpaspoort.
Beeld: gpointstudio/Shutterstock

Wie heeft er nou allerlei geavanceerd hackertrucs nodig om in te breken in een facebookaccount wanneer je ook gewoon aan een facebookmedewerker kan vragen of hij jou er even in laat.

Maandag merkte de 23-jarige Aaron Thompson uit Pontiac, Michigan dat hij niet kon inloggen in zijn facebookaccount. Ook waren zijn email en telefoonnummer gelinkt aan het account veranderd. Toen, vertelde hij me, raakte hij wel een klein beetje in paniek.

Advertentie

Op dat moment checkte hij zijn email om uit te zoeken wat er was gebeurd. Uit zijn inbox bleek dat er emailcontact was geweest tussen de klantenservice van Facebook en de hacker die het op zijn account had gemunt.

"Hi, ik heb geen toegang meer tot mijn mobiele telefoonnummer. Zou u de codegenerator voor de bevestiging van mijn login uit kunnen zetten? Hartelijk dank," schreef de hacker, die deed alsof hij Thompson was en alsof hij zijn telefoon was verloren die was gelinkt aan zijn account.

Het automatische antwoord informeerde de hacker dat hij zonder Code Generator (onderdeel van het authenticatiesysteem van Facebook) hij alleen toegang kon krijgen door een kopie van zijn ID te sturen.

De hacker stuurde iets wat lijkt op een foto van een vals paspoort. Niks uit het paspoort, afgezien van de naam, kwam overeen met Thomas zijn echte gegevens.

Maar dat was genoeg voor de klantenservice van Facebook om alle veiligheidssystemen op Thomas zijn account te inactiveren en alle macht in handen van de hacker te plaatsten.

"Dank voor de verificatie van uw identiteit. U zou nu in staat moeten zijn om weer in te loggen," schreef een werknemer van de klantenservice in een email die Thompson deelde met Motherboard. "We hebben ook het verificatiesysteem van uw account uitgezet om te voorkomen dat u in de toekomst niet meer bij uw account komt."

Op dat moment probeerde Thompson zelf weer in te loggen. Hij liet Facebook ondertussen weten dat de persoon die het paspoort had gestuurd en had gevraagd om de beveiligingssystemen op te heven niet de echte Aaron Thompson was.

Advertentie

Thompson vertelde me dat hij flink kapot was van alles wat er was gebeurd. Hij vertelde dat hij een paar facebookpagina's heeft, zoals One Million Gamers, die bij elkaar een paar miljoen likes hebben. Het verlies van zijn Facebook is voor hem het verlies van zijn grootste bron van inkomsten.

Dat is waarom Thompson er van overtuigd is dat zijn Facebook was gehackt met de bedoeling om geld te verdienen aan zijn pagina's. Maar terwijl de hacker het account beheerde, heeft hij alleen wat berichten gestuurd naar een paar van Thompson's vrienden. Verder stuurde hij een foto van zijn pik naar de vriendin van Thomas, terwijl hij haar vroeg om naaktfoto's en haar uitmaakte voor hoer, vertelde Thompson

"Het accepteren van een vals paspoort is een fout geweest die ons eigen interne beleid aantast. Dit is niet de norm,"

Thompson had bijna een hele dag geen toegang tot zijn account. Uit frustratie schreef hij over zijn ervaring op Reddit in een post met als titel: "[Vandaag heb ik geleerd] dat iemand jouw Facebook-email, -wachtwoord en -verificatiesysteem kan veranderen, gewoon door aan de klantenservice te vragen of het beveiligingssysteem uitgeschakeld kan worden met een vals paspoort."

Op dinsdagochtend, nadat ik Facebook had benaderd vanwege het incident, vertelde een woordvoerder mij dat het bedrijf Thompson's account en pagina's veilig had gesteld en dat ze bezig waren met de aanpassing van het huidige toegangsproces.

"Het accepteren van een vals paspoort is een fout geweest dat ons eigen interne beleid aantast. Dit is niet de norm," zei een woordvoerder.

Dit verhaal eindigt dus al goed, maar we moeten ons er wel van bewust blijven dat ondanks alle beveiligingssystemen mensen nog steeds de zwakste schakel zijn in de toegang tot online accounts. Een uitgebreid authenticatiesysteem met alle moderne beveiligingssoftware heeft natuurlijk geen nut als een hacker gewoon de klantenservice even kan mailen of bellen om het hele systeem uit te schakelen.