Megtörtént velem, amiről eddig azt hittem, hogy ez csak másokkal történhet: feltörték a Facebook fiókom.

Pedig erős és egyedi jelszót használtam és be volt kapcsolva a Facebook kétlépcsős hitelesítése. És mégis sikerült hozzáférniük a fiókomhoz, anélkül, hogy én bármilyen figyelmeztetést kaptam volna, csak amikor már megtörtént az átvétele a fióknak és a kedves támadó teleszórta a falamat terrorista tartalmakkal. 

Még most sem értem igazán, hogyan történhetett ez, megpróbálom sorba venni az eseményeket.

A feltörés

Pénteken reggel, miután bekapcsoltam a netet a telefonomon, ez az üzenet fogadott:

Megnéztem a leveleket, jött egy csomó figyelmeztetés és értesítés Facebooktól. Azért egy időben, mert ekkor kaptam meg őket, ekkor kapcsoltam be ugyanis a netet.

Az első üzenet amit megnyitottam, az Intézkedés szükséges kezdetű volt, ebben kattintottam a megadott linkre, és ennek az eredményeképp láttam innentől kezdve azt az üzenetet, hogy akkor megvizsgálják az egyetnemértésem és majd értesítenek.

A várakozás

Miután megtettem mindent, amit látszólag tehettem, nem maradt más lehetőségem, mint várni a döntésre.

Az egészben az volt a legszorongatóbb érzés, hogy leírták, ha úgy döntenek, hogy nem felel meg a tartalom a közösségi alapelveknek, akkor végleg törlik a fiókot és nincs helye fellebbezésnek.

Én pedig csak remélni tudtam, hogy nem egy algoritmus fogja végignézni a tevékenységet, hanem egy élő ember, aki kb. azonnal láthatja, hogy egy alapvetően békés, leginkább madarakat vagy családi dolgokat posztolgató, amúgy is inkább liberális tartalmakat megosztó kocka apukából nem válik egyik pillanatról a másikra terrorista. 

A Facebook figyelmeztetésben nem volt semmilyen kontakt megadva, nem tudtam volna kihez fordulni, és a súgót végignézve sem találtam lehetőséget erre.

Próbáltuk feleségem fiókjáról bejelenteni, hogy feltörték a fiókom, hátha úgy lehet, de a súgó ott is azt mondta, hogy menjek a facebook.com/hacked oldalra, ha úgy érzem feltörték a fiókom. Odamentem, de belépés után ugyanaz az üzenet fogadott. 

Twitteren, ahová természetesen liveblogoltam a kálváriám tök kedvesek voltak az emberek, próbáltak segíteni kontaktot keresni FB-hez, végül nem lett rá szükség, de ez jólesett.

Közben már láttam, hogy a profilképem lecserélték valami terrorista logóra és elkezdtek érkezni ismerőseimtől az SMS-ek, hogy mi történt, nem tudnak írni nekem Messengeren, vagy miért blokkoltam őket, rém kellemetlen volt.

Akinek tudtam, írtam emailt vagy más csatornán üzenetet, és megkértem párom, hogy rakjon ki egy posztot a falára, hogy a közös ismerőseink lássák mi történt. 

Az volt még az érdekes, hogy bár zárolva volt a fiókom, a Messenger csoportokból továbbra is megkaptam az üzenetekről az értesítéseket, de csak azt láttam, hogy ki küldte az üzenetet, a tartalmát már nem tudtam megnyitni.

A visszajutás

Szombaton, amikor sokadjára visszanéztem és még mindig ugyanazt láttam, akkor vettem észre a jobb felső sarokban a Help gombot. Arra kattintva volt egy olyan lehetőség, hogy illetéktelen hozzáférést jelentsek és miután megtettem, ez a képernyő fogadott: 

Majd pár perc múlva jött egy üzenet, hogy feloldották a zárolást, állítsak be új jelszót és kétfaktorost és visszakapom a fiókom.

Ezeket beállítottam, kifejezetten figyelve, hogy NE a Facebook autentikátor alkalmazását használjam, hanem egy külsőt. Miután ez megvolt, visszajutottam Facebookba és Instára is:

Kaptam egy csomó korlátozást, például a visszatértem után két óráig semmit nem posztolhattam, csoportokba még két napig nem posztolhatok, live-olni és hívásokat fogadni pedig két hónapig nem tudok. Ezt mondjuk elég igazságtalannak érzem, mert azt hiszem nem teljesen az én saram volt, hogy feltörték a fiókot, és miután egyértelmű volt, hogy nem én posztoltam, a büntetéseket és korlátozásokat sem nekem kéne kapnom. 

Az is vicces kicsit, hogy ugyanazon a napon belül kétszer is írják, hogy tévedések előfordulnak, aztán mégis mentek a korlátozások (mondjuk teljesen jogosan, mert a támadó folyamatosan töltötte fel a képeket).

A lehetséges okok

Na és akkor a fontos kérdés, hogy mégis ez hogyan történhetett? Átgondolva a közelmúlt eseményeit és azt, hogy erős jelszó és kétfaktoros azonosítás mellett mégis fel tudták törni a fiókot, ezekre gyanakszom:

Február 7-én sajnos belefutottam egy phising üzenetbe. Messengerben küldte egy barátom, én épp siettem, nem gondoltam végig és rákattintottam a linkre, ami egy Facebook login-oldal hasonmást nyitott meg, de ott már az URL-ből láttam, hogy ez kamu és be is zártam rögtön. Én erre gyanakszom legjobban, hogy a session spoofinghoz innen szedhetett adatokat, bár a tényleges támadás csak 10 nappal később történt.

Aznap még twitteltem is róla:

Február 13-án kaptam négy üzenetet Facebooktól, hogy valaki jelszó visszaállítási kérelmet adott be. Mivel két emailcímem volt megadva FB-n, a támadó mindkét emailcímre kért jelszó visszaállítást

Mivel bíztam a kétfaktoros azonosításban (hiba volt), nem változtattam azonnal jelszót (hiba volt), hanem csak rákattintottam az üzenetben (azt azért leellenőriztem előtte, hogy a security@facebookmail.com cím hiteles-e, és tényleg onnan küld a Facebook üzenetet) arra a linkre, ami jelzi az FB számára, hogy nem én próbáltam meg bejelentkezni.

Ezek után nem is törődtem a dologgal, gondoltam valahonnan megtudta az email címem, azt nem olyan nehéz kideríteni és bepróbálkozott.

Február 16-án, csütörtökön délután frissítettem a régi Pixel telefonom (nosztalgiából még életben tartom), már rég nem kap biztonsági frissítéseket, úgyhogy lehet, hogy ez is közrejátszott valahogy, bár ott már azt hiszem rég nem is vagyok belépve a Facebookba. Este lefekvés előtt szándékosan levettem a netet a telefonomról, hogy ne kapjak értesítéseket. Lehet ha rajta hagyom és még elalvás előtt látom az első üzeneteket, akkor el tudom hárítani.

Február 17-én megtörtént a sikeres támadás.

A hacker

Pár dolgot azért sikerült megtudnom a támadóról.

Amikor törölte a tartalék emailem és a telefonszámom a rendszerből, akkor a Facebook által küldött értesítésben láttam az IP címét a kérésnek, bár ezzel az információval sztem túl sokat nem lehet kezdeni.

A másik pedig, miután visszajutottam a fiókomba, még láttam a telefonszámot, amit megadott az enyém helyett:

Valamint a profil képek között láttam két arcot feltöltve, de kétlem, hogy ez valóban a támadó lenne. Így néz ki a feltöltések rész nálam (és egyelőre törölni sem tudom, pedig nem akarom látni).

A tanulságok számomra

Nagyon rossz érzés volt belegondolni, hogy az elmúlt 10-15 évben felépített teljes online identitásom odaveszhet egy pillanat alatt. Szinte olyan, mint egy virtuális halál.

Én nagyon szeretem a Facebooknak azt a funkcióját, hogy feldob régi posztokat, képeket, emlékeket. Ez is nagyon hiányzott volna.

Azt is rossz volt átélni, hogy egy ismeretlen ember végigolvashat minden chatet, minden fotót, minden tartalmat. Szerencsére azt sejtettem, hogy ha azonnal terrorista tartalmat posztol, akkor valószínűleg egy bot és nincs ezzel más szándéka, mert egy igazán rosszindulatú támadó például törölhette volna az adatokat, posztokat, képeket. De a támadó nem rombolni akart, csak propagandát terjeszteni.

Az is egy fontos felismerés volt, hogy mennyi embert ismerek csak és kizárólag Messengeren/Facebookon keresztül. Szóval mindenképp érdemes alternatív, tartalék csatornákat is fenntartani, pont az ilyen esetekre.

Nagyon szívesen megnéznék egy security RCA elemzést a Facebook rendszerén belül, hogy az általam kattintott phising üzenet, vagy az elavult telefon, vagy a jelszóváltoztatási kérelmek milyen szerepet játszottak a sikeres támadás végrehajtásában és miért nem működött a kétlépcsős azonosítás. Akár még fizetnék is érte, ahogy azért is, hogy ilyen esetben sürgősségi live supportot kérhessek, akivel 10-15 perc alatt tisztázni lehetne a helyzetet.

És a legfontosabb tanulság számomra: ha véletlenül megint phising üzenetre kattintok, vagy bármi gyanús aktivitás érkezik a fiókomba, változtassak jelszót azonnal. Ne halogassam.

És ne bízzak vakon a kétfaktoros autentikációban, azt is fel lehet törni. Meg lehet tenni mindig a szükséges biztonsági intézkedéseket, de tökéletes biztonság nem létezik.