Ahogy valószínűleg a legtöbben, úgy én is alábecsülöm a jelszavak és a biztonság fontosságát. Az előzőhéten viszont feltörték a facebook fiókomat. Arra lettem figyelmes, hogy Instagramon egy olyan bejegyezésemet kezdték el ismeretlenek kedvelni, amit nem is én hoztam létre. Ahogy megnyitottam a bejegyzést, egy cipőhirdetés ugrott fel az én nevem alatt. Arra gondoltam, hogy biztosan valami bug, nem is tulajdonítottam neki nagy figyelmet.

Pár óra múlva az egyik futó Facebook hirdetésemre szerettem volna ránézni, hogy hogyan teljesít, de a hirdetéskezelőben egy új hirdetést fogadott, amit nem én adtam fel. Ez a cipőreklám volt az, napi 80 ezer forint limitre volt állítva, amiből közel 33 ezer már el is lett költve.

Facebook hirdetések esetén valamilyen fizetési lehetőséget, PayPal fiókot vagy bankkártyát hozzá kell kapcsolni a fiókhoz, onnan vonják az összeget. Természetesen azonnal leállítottam a hirdetést és jelszót változtattam. De az a 33 ezer forint eddig elköltött összeg ott mutatkozott a Facebook számlámon. Szerencse az, hogy ilyenkor nem egyből vonják le az összeget, hanem havonta egyszer, az összesen elköltött összeg után.

Persze ilyenkor gondolnánk, hogy a Facebook-ot ez nem fogja érdekelni és lehetetlen lesz egy ilyen cég ügyfélszolgálatát elérni. Nem így lett. Létezik a Facebook Advertiser Support oldal, amire messengeren belül egy új beszélgetést nyitottam meg. Meglepő módon egy percen belül csatlakozott a beszélgetéshez Roberto a Facebook munkatársa, akinek elmeséltem a történteket képernyőképekkel mellékelve. Elmondta, hogy szükség lesz pár napra, mire elbírálják és utánanéznek, hogy mi is történt valójában. Néhány nap elteltével kaptam egy emailt a Facebook-tól, hogy felülvizsgálták az esetet, valószínűleg feltörhették a fiókomat, így az összeget kivonták a számláról, azt nem fogják a kártyámról azt hónap végén levonni.

Belegondolva mi lett volna ha éppen nem vagyok gépnél pár napig? Ott várt volna az akár több százezer forintos számla. Még szerencse, hogy a Facebook ezt pozitívan bírálta el. Mondhatták volna, hogy én adtam fel a hirdetést. Hogyan bizonyítom, hogy más hozta létre? Lehetett volna ennek sokkal rosszabb kimenetele is. Amit tanultam belőle, hogy minden esetben be kell kapcsolni a két lépcsős azonosítást. Ez azt jelenti, hogy minden esetben, amikor új eszközről lépnek be a Facebook fiókba, akkor SMS-ben küld egy kódot a Facebook (vagy az alkalmazáson belüli kódgenerátort is lehet használni), aminek megadásával lehet csak belépni. Így ha még valahogy ki is szivárog a belépési jelszó, nem fog tudni senki belépni és visszaélni fiókkal. Persze, ezt nem csak Facebook-ot használva, de a Google szolgáltatásoknál is be lehet kapcsolni.

A sztori után pár nap elteltével azon gondolkoztam, hogy ugyan hogy törhették fel? Jelszavam nagyon erős, nagy betű, kis betű, speciális karakter, semmi értelme nincs. Aznap találtam Indexen egy cikket, miszerint több százmillió email cím és jelszó kombináció szivárgott ki, ahol egy linken le lehet ellenőrizni, hogy vajon az email címhez tartózó adatokat ellopták, vagy sem. Az email címem beírása után kiderült, hogy három forrásból is kiszivárgott a jelszavam és az email címem kombinációja.
Ezen az oldalon lehet ellenőrizni: https://haveibeenpwned.com/

Egy átlagos felhasználónak rengeteg belépése van és nyilván senkinek sincs kedve több jelszót megjegyezni, egyet használ. Én is így tettem és ebből adódóan törhették fel a Facebook hirdetési fiókomat is. Azonos volt a jelszó. Sztori tanulsága:

• Ahol lehetséges, kétlépcsős azonosítás bekapcsolása
• Jelszó tartalmazzon: Kisbetű, nagy betű, speciális karakter
• Lehetőleg, minden platformon különbözőek legyenek a használt jelszavak.