Pénzt is lophattak a Facebook támadói

Először annyit láttam, hogy ketten hozzászólnak az AutoRoom oldalán egy bejegyzéshez. Aztán csengetett az sms, hogy 68 ezer forintom elment Facebook-hirdetésre

- mesélte Tamás Zsolt, a pár hete elindított, autós tartalmakkal foglalkozó AutoRoom oldal üzemeltetője, a Tech2 hírportál főszerkesztője. Az eset szeptember 27-én történt, aznap jelezte a Facebooknak, hogy az akkor még csak két napos oldalán megjelent egy bejegyzés, amit nem ő töltött fel, és valaki ennek az ismeretlen tartalomnak a meghirdetésére kezdte el költeni a pénzét. Egy olyan kampányra, amit nem is ő indított el. Az erről szóló levelezését az ügyfélszolgálattal hozzánk is eljuttatta.

Az ismeretlenek azért költhették a pénzét, mert be volt kötve a bankkártyája a Facebookhoz. Ez teljesen szokványos az oldalak üzemeltetőinél, hiszen például a vállalatok így tudják népszerűsíteni a saját tartalmaikat, termékeiket. A reklámozott bejegyzésekkel olyan embereket is el tudnak érni, akik egyébként nem követőik a közösségi portálon. A bankkártya mentése igencsak leegyszerűsíti a hirdetési folyamatot, nem kell minden egyes esetben elővenni a lapkát, és bepötyögni róla az adatokat.

Egy ilyen hirdetésnek, amivel nagyobb olvasóközönséget lehet elérni, egy ennyire friss Facebook-oldalnál, mint az AutoRoom, még nincs semmi értelme. Az oldalon még most is alig vannak bejegyzéseket, nem lenne mivel ott tartani, tartós követővé konvertálni a hirdetés miatt odatévedő netezőket. Persze nem is erre ment el a pénzt, hanem az idegenek által odabiggyesztett tartalom terjesztésére, ráadásul aránytalanul sok pénz, és meglepően gyorsan.

„Szörnyen nehéz volt megtalálni a megfelelő menüpontot, ahol panaszt tudtam tenni, ezzel elment legalább fél óra” - mesélte tovább a részleteket. Mire elküldte az emailt 

Hosszas levelezést kellett folytatni a Facebook több ügyfélszolgálatos munkatársával, akik az ilyenkor szokásos eljárási rendet betartva megkérdezték, hogy nem nyomott-e rá - akár szándékosan, akár véletlenül - az egész oldal meghirdetését aktiváló gombra. Mert így is lehet ám hirdetésre költeni, mondták ők. Telt-múlt az idő, Tamás Zsolt pedig egyre türelmetlenebbül aggódott, mert a hirdetésekre elköltött összeg egyre csak nőtt. „Már 150 ezernél tartott a számláló, és nem lehetett tudni, hogy hol áll majd meg. De azt sem, hogy visszaadják-e az összeget.”

Végül a Facebook Hirdetői Támogatási csoportjától jelentkező egyik hölgy arra kérte meg Tamás Zsoltot, hogy nyomjon rá a kampányt szüneteltető gombra. Azt mondta, hogy ezt ők a Facebooknál biztonsági és adatvédelmi okokból nem tehetik meg, kizárólag a kampányt elindító oldal üzemeltetőjének van joga ilyesmire.

Tamás Zsolt megtette, amire kérték.

A kampány pedig magától újraindult.

Ekkor már szeptember 28-án pénteken, hajnali három környékén jártunk. Az álmatlan éjszaka után még egészen kora délutánig folytatták a levelezést arról, hogy kinek és hogyan kéne rányomnia a szüneteltetés gombra, majd egyszer csak robbant a bombahír a világsajtóban:

Az ügynek ezt a részét, ami az adatvédelemmel kapcsolatos, egyre jobban ismerjük, és legutóbb már az alábbiakat nyilatkozta a Facebook:

• 29 millió felhasználó adataihoz fértek hozzá a támadók
• egy hónapig létezett a biztonsági rés
• szeptember 25-én állapították meg, hogy tényleg támadás történt

A lopási ügyben már csak 29-én szombaton sikerült eljutni arra a pontra, hogy az ügyfélszolgálat is elismerte, szerintük is csalásról van szó. A szakértőik megvizsgálták az esetet. Közölték, hogy minden, az adott bejegyzésre elköltött pénzt visszafizetnek 5-10 munkanapon belül, de azért még át kell esni egy személyazonosság-ellenőrzésen, hogy biztosan tudják, tényleg az oldal elindítójával csevegnek. Egyben javasolták egy friss bankkártya beszerzését, és a Facebook-fiók kétfaktoros hitelesítésének bekapcsolását is.

Ami meglepőnek tűnhet még az esetben, hogy Tamás Zsolt azt mondja, miután rájött, hogy valami nem stimmel, jelszót változtatott a Facebookon, ám az idegen kampány ennek ellenére is újraindult. Amikor pedig világszerte sok mindenkit kidobott a Facebook a bejelentkezett böngészőkben és appokban, és új belépésre kényszerített mindenkit, őt is ugyanúgy kitették, a friss jelszó ellenére, és akkor már napok óta folyamatban volt ennek a furcsa reklámköltési esetnek a felgöngyölítése. Ezekre az a magyarázat, hogy a támadók nem jelszavakat loptak, hanem hozzáférési tokeneket, amelyeket éppen azért generál és tárol a Facebook, hogy bejelentkezve tudjunk maradni, ne kelljen minden alkalommal újra beírni a jelszót. Ezért férhettek hozzá a jelszó megváltoztatásától függetlenül továbbra is a fiókhoz a támadók, és ezért kellett a jelszóváltás ellenére is kiléptetni, mert ezzel lejártak a lopott tokenek.

Az esetből sokféle tanulságot leszűrhetünk, és ebből csak az egyik az, hogy a Facebookkal ezek szerint különösen vigyázni kell. Fontos észben tartani, hogy a kibertámadók mindig ott fognak lecsapni, ahol tömegek vannak. Így volt ez akkor, amikor még a Windows volt a vezető platform, és így van a weben is a Facebookkal, és ez lesz igaz bármire, ami csak ezután lesz sok százmillió netező gyülekezőhelye. Az is biztos, hogy érdemes minden védelmi funkciót kihasználni, amit csak elérhetővé tesznek ezeken a platformokon.

Már csak az a kérdés, hogy vajon mire jut majd a Facebook adatvédelmi, és feltehetően azon is túlnyúló kibertámadási ügyét vizsgáló európai hatóság, amely pusztán a személyes adatok kikerülése miatt is vaskos bírságot szabhat ki az amerikai cégre.