Jancsó Gergely

Jancsó Gergely

Így törték fel a facebook fiókomat

Facebook Tetszik
0
2019. február 12. - Jancsó Gergely

Ahogy valószínűleg a legtöbben, úgy én is alábecsülöm a jelszavak és a biztonság fontosságát. Az előzőhéten viszont feltörték a facebook fiókomat. Arra lettem figyelmes, hogy Instagramon egy olyan bejegyezésemet kezdték el ismeretlenek kedvelni, amit nem is én hoztam létre. Ahogy megnyitottam a bejegyzést, egy cipőhirdetés ugrott fel az én nevem alatt. Arra gondoltam, hogy biztosan valami bug, nem is tulajdonítottam neki nagy figyelmet.

index_mobil_1.jpg

Pár óra múlva az egyik futó Facebook hirdetésemre szerettem volna ránézni, hogy hogyan teljesít, de a hirdetéskezelőben egy új hirdetést fogadott, amit nem én adtam fel. Ez a cipőreklám volt az, napi 80 ezer forint limitre volt állítva, amiből közel 33 ezer már el is lett költve.

lista_index.jpg

Facebook hirdetések esetén valamilyen fizetési lehetőséget, PayPal fiókot vagy bankkártyát hozzá kell kapcsolni a fiókhoz, onnan vonják az összeget. Természetesen azonnal leállítottam a hirdetést és jelszót változtattam. De az a 33 ezer forint eddig elköltött összeg ott mutatkozott a Facebook számlámon. Szerencse az, hogy ilyenkor nem egyből vonják le az összeget, hanem havonta egyszer, az összesen elköltött összeg után.

Persze ilyenkor gondolnánk, hogy a Facebook-ot ez nem fogja érdekelni és lehetetlen lesz egy ilyen cég ügyfélszolgálatát elérni. Nem így lett. Létezik a Facebook Advertiser Support oldal, amire messengeren belül egy új beszélgetést nyitottam meg. Meglepő módon egy percen belül csatlakozott a beszélgetéshez Roberto a Facebook munkatársa, akinek elmeséltem a történteket képernyőképekkel mellékelve. Elmondta, hogy szükség lesz pár napra, mire elbírálják és utánanéznek, hogy mi is történt valójában. Néhány nap elteltével kaptam egy emailt a Facebook-tól, hogy felülvizsgálták az esetet, valószínűleg feltörhették a fiókomat, így az összeget kivonták a számláról, azt nem fogják a kártyámról azt hónap végén levonni.

Belegondolva mi lett volna ha éppen nem vagyok gépnél pár napig? Ott várt volna az akár több százezer forintos számla. Még szerencse, hogy a Facebook ezt pozitívan bírálta el. Mondhatták volna, hogy én adtam fel a hirdetést. Hogyan bizonyítom, hogy más hozta létre? Lehetett volna ennek sokkal rosszabb kimenetele is. Amit tanultam belőle, hogy minden esetben be kell kapcsolni a két lépcsős azonosítást. Ez azt jelenti, hogy minden esetben, amikor új eszközről lépnek be a Facebook fiókba, akkor SMS-ben küld egy kódot a Facebook (vagy az alkalmazáson belüli kódgenerátort is lehet használni), aminek megadásával lehet csak belépni. Így ha még valahogy ki is szivárog a belépési jelszó, nem fog tudni senki belépni és visszaélni fiókkal. Persze, ezt nem csak Facebook-ot használva, de a Google szolgáltatásoknál is be lehet kapcsolni.

A sztori után pár nap elteltével azon gondolkoztam, hogy ugyan hogy törhették fel? Jelszavam nagyon erős, nagy betű, kis betű, speciális karakter, semmi értelme nincs. Aznap találtam Indexen egy cikket, miszerint több százmillió email cím és jelszó kombináció szivárgott ki, ahol egy linken le lehet ellenőrizni, hogy vajon az email címhez tartózó adatokat ellopták, vagy sem. Az email címem beírása után kiderült, hogy három forrásból is kiszivárgott a jelszavam és az email címem kombinációja.
Ezen az oldalon lehet ellenőrizni: https://haveibeenpwned.com/

Egy átlagos felhasználónak rengeteg belépése van és nyilván senkinek sincs kedve több jelszót megjegyezni, egyet használ. Én is így tettem és ebből adódóan törhették fel a Facebook hirdetési fiókomat is. Azonos volt a jelszó. Sztori tanulsága:

  • Ahol lehetséges, kétlépcsős azonosítás bekapcsolása
  • Jelszó tartalmazzon: Kisbetű, nagy betű, speciális karakter
  • Lehetőleg, minden platformon különbözőek legyenek a használt jelszavak.

11 komment

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://jancsogergely.blog.hu/api/trackback/id/tr2614620818

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Jossarian 2019.02.12. 20:38:44

Es miert van facebook fiokod amit feltorhetnek? Inkabb ezen kellene elgondolkodnod mint a jelszavaid erossegen.
Válasz erre 

megvagyhadnagy 2019.02.12. 21:05:58

Nincs facebook fiókom. Napi sok sok órát tudok így mással foglalkozni. A munka is hatékonyabb. Ha kollégákkal beszélgetek, nincs olyan, hogy két percen belül ne ugorna fel mindegyiküknél értesítés. Ráadásul, ahogy látom idióta kutyás meg macskás faxszságok cserélnek gazdát. Régen ez e-mailen ment, most a facebookon. Ostoba az aki önként és dalolva adja oda a fél életét a cukkerberg bácsinak.
Válasz erre 

Phteven 2019.02.12. 21:29:33

Én egyszer megadtam a mail címem/jelszavam egy százezredik senki webáruházban. Gondolom titkosítás nélkül tárolták, a rendszergazda hozzáfért, és végigpróbálta mindet. Így eljutott az enyémig. Egyszer jött egy értesítés, hogy beléptek a facebook fiókomba. Néztem nagyot, mert nem is volt ilyenem. Kíváncsiságból beléptem és belépett. Ekkor eszembe jutott, hogy amikor indult az a szar, akkor kíváncsiságból regisztráltam, de mivel senkiismerős nem volt, soha többet nem használtam. Azóta véletlenül se adom meg ugyan azt a jelszót, amit a mailhez használok. Il.. regisztráltam egy másik mail címet, arról intézek ilyesmiket. Szerencsém volt, ennyi erővela privát cuccaimat is lenyúlhatták volna. :-(
Válasz erre 

Hóember 2019.02.12. 21:53:48

"nyilván senkinek sincs kedve több jelszót megjegyezni, egyet használ. "
Micsoda marhaság ez, alap, hogy ahol pénzt is költesz, bankártya van megadva, ott egyedi a jelszó. Fő mail, paypal, feszbuki, bankok, mind külön jelszó kell, ezek mellé lehet egy általános "szirszar" jelszavad a rengeteg egyéb regisztrációhoz, amit aztán szivárogtathatnak bátran, nem para.
Válasz erre 

Wéső 2019.02.12. 22:16:31

Ajánlok egy szalag melletti munkát Jancsó! Ott nem jön neked szembe ilyen probléma, meg az intelligencia szintedhez is jobban fog illeni. Nem beszélve arról, hogy hasznos tagja leszel a társadalomnak.
Válasz erre 

eßemfaßom meg áll 2019.02.13. 07:37:56

1. kétlépcsős azonosítás
2., a fb már akkor is küld érdeklődést, hogy én vagyok-e ha ugyanazen a gépen másik böngészőből belépek.

Szóval hogy is mondjam akinek fel tudják törni a fb fiókját és nem is veszi perceken belül észre az irja már meg, hol parkol az autója benne a forgalmival és a kulccsal...
Válasz erre 

nyikk 2019.02.13. 07:57:03

En nem faszbukozok, de bizonyos szintig el tudom fogadni a letet, vannak lurkoim, muszaj.De mi köze a faszbuknak a penzügyeimhez, bankkartyamhoz?
Válasz erre 

Taurusz 2019.02.13. 08:00:23

" Jelszavam nagyon erős, nagy betű, kis betű, speciális karakter,"
"nyilván senkinek sincs kedve több jelszót megjegyezni"
Elterjedt tévhit, hogy a jelszónak ezek kell telesítenie. Persze, egy jelszóval védett offline részen, pl. egy tömörített állomány, vagy excel esetén, mivel neki lehet esni brute force módszerrel. De egy online felületet, ami kicsit is értelmes 5-10 próba után letilt fél-egy órára, és küld egy levelet, hogy gyanús esemény volt. Egy jó online jelszó baromi hosszú, és ennyi. És igen, azt jól látod, hogy egy jelszót nem használunk mindenhez.
(Arról most nem beszélve, hogy egyes oldalak titkosítás nélkül tárolják a jelszavakat, és az elfelejtettem a jelszavam gombra elküldik sima szövegben a régi jelszavadat, mert azt külön kéne büntetni.)
Válasz erre 

zolee001 2019.02.13. 08:16:00

Lehet mégis kellett volna az a netes adó
Válasz erre 

2019.02.13. 10:46:25

1. nem kell fészbukk fiókot üzemeltetni
2. ha ezt nem bírod ki, nem kell a pénzügyeidet világgá kürtölni a fészbukkon
3. ha ezt sem bírod ki egyszerű a képlet: több bevételre kell szert tenned naponta, mint amennyit lenyúlnak tőled
4. így mindenki boldog lesz
Válasz erre 
süti beállítások módosítása