Pénzt is lophattak a Facebook támadói

További Tech-Tudomány cikkek

Azon túl, hogy ismeretlen támadók nagyjából 30 millió felhasználó személyes adataihoz férhettek hozzá a közösségi portál egyik sérülékenységét kihasználva, a magyar AutoRoom Facebook-oldalának adminja több mint százezer forintos lopásról is beszámolt nekünk, amit ugyanebben az időszakban követtek el ellene. Az idegenek által elindított kampányt nem is tudta leállítani.

Először annyit láttam, hogy ketten hozzászólnak az AutoRoom oldalán egy bejegyzéshez. Aztán csengetett az sms, hogy 68 ezer forintom elment Facebook-hirdetésre

- mesélte Tamás Zsolt, a pár hete elindított, autós tartalmakkal foglalkozó AutoRoom oldal üzemeltetője, a Tech2 hírportál főszerkesztője. Az eset szeptember 27-én történt, aznap jelezte a Facebooknak, hogy az akkor még csak két napos oldalán megjelent egy bejegyzés, amit nem ő töltött fel, és valaki ennek az ismeretlen tartalomnak a meghirdetésére kezdte el költeni a pénzét. Egy olyan kampányra, amit nem is ő indított el. Az erről szóló levelezését az ügyfélszolgálattal hozzánk is eljuttatta.

Az ismeretlenek azért költhették a pénzét, mert be volt kötve a bankkártyája a Facebookhoz. Ez teljesen szokványos az oldalak üzemeltetőinél, hiszen például a vállalatok így tudják népszerűsíteni a saját tartalmaikat, termékeiket. A reklámozott bejegyzésekkel olyan embereket is el tudnak érni, akik egyébként nem követőik a közösségi portálon. A bankkártya mentése igencsak leegyszerűsíti a hirdetési folyamatot, nem kell minden egyes esetben elővenni a lapkát, és bepötyögni róla az adatokat.

Egy ilyen hirdetésnek, amivel nagyobb olvasóközönséget lehet elérni, egy ennyire friss Facebook-oldalnál, mint az AutoRoom, még nincs semmi értelme. Az oldalon még most is alig vannak bejegyzéseket, nem lenne mivel ott tartani, tartós követővé konvertálni a hirdetés miatt odatévedő netezőket. Persze nem is erre ment el a pénzt, hanem az idegenek által odabiggyesztett tartalom terjesztésére, ráadásul aránytalanul sok pénz, és meglepően gyorsan.

„Szörnyen nehéz volt megtalálni a megfelelő menüpontot, ahol panaszt tudtam tenni, ezzel elment legalább fél óra” - mesélte tovább a részleteket. Mire elküldte az emailt

már 103 000 forinton állt a számláló.

Hosszas levelezést kellett folytatni a Facebook több ügyfélszolgálatos munkatársával, akik az ilyenkor szokásos eljárási rendet betartva megkérdezték, hogy nem nyomott-e rá - akár szándékosan, akár véletlenül - az egész oldal meghirdetését aktiváló gombra. Mert így is lehet ám hirdetésre költeni, mondták ők. Telt-múlt az idő, Tamás Zsolt pedig egyre türelmetlenebbül aggódott, mert a hirdetésekre elköltött összeg egyre csak nőtt. „Már 150 ezernél tartott a számláló, és nem lehetett tudni, hogy hol áll majd meg. De azt sem, hogy visszaadják-e az összeget.”

Végül a Facebook Hirdetői Támogatási csoportjától jelentkező egyik hölgy arra kérte meg Tamás Zsoltot, hogy nyomjon rá a kampányt szüneteltető gombra. Azt mondta, hogy ezt ők a Facebooknál biztonsági és adatvédelmi okokból nem tehetik meg, kizárólag a kampányt elindító oldal üzemeltetőjének van joga ilyesmire.

Tamás Zsolt megtette, amire kérték.

A kampány pedig magától újraindult.

Ekkor már szeptember 28-án pénteken, hajnali három környékén jártunk. Az álmatlan éjszaka után még egészen kora délutánig folytatták a levelezést arról, hogy kinek és hogyan kéne rányomnia a szüneteltetés gombra, majd egyszer csak robbant a bombahír a világsajtóban:

a Facebook bejelentette, hogy 50 millió felhasználói fiók adatait megszerezték támadók.

Az ügynek ezt a részét, ami az adatvédelemmel kapcsolatos, egyre jobban ismerjük, és legutóbb már az alábbiakat nyilatkozta a Facebook:

29 millió felhasználó adataihoz fértek hozzá a támadók
egy hónapig létezett a biztonsági rés
szeptember 25-én állapították meg, hogy tényleg támadás történt

A lopási ügyben már csak 29-én szombaton sikerült eljutni arra a pontra, hogy az ügyfélszolgálat is elismerte, szerintük is csalásról van szó. A szakértőik megvizsgálták az esetet. Közölték, hogy minden, az adott bejegyzésre elköltött pénzt visszafizetnek 5-10 munkanapon belül, de azért még át kell esni egy személyazonosság-ellenőrzésen, hogy biztosan tudják, tényleg az oldal elindítójával csevegnek. Egyben javasolták egy friss bankkártya beszerzését, és a Facebook-fiók kétfaktoros hitelesítésének bekapcsolását is.

Ami meglepőnek tűnhet még az esetben, hogy Tamás Zsolt azt mondja, miután rájött, hogy valami nem stimmel, jelszót változtatott a Facebookon, ám az idegen kampány ennek ellenére is újraindult. Amikor pedig világszerte sok mindenkit kidobott a Facebook a bejelentkezett böngészőkben és appokban, és új belépésre kényszerített mindenkit, őt is ugyanúgy kitették, a friss jelszó ellenére, és akkor már napok óta folyamatban volt ennek a furcsa reklámköltési esetnek a felgöngyölítése. Ezekre az a magyarázat, hogy a támadók nem jelszavakat loptak, hanem hozzáférési tokeneket, amelyeket éppen azért generál és tárol a Facebook, hogy bejelentkezve tudjunk maradni, ne kelljen minden alkalommal újra beírni a jelszót. Ezért férhettek hozzá a jelszó megváltoztatásától függetlenül továbbra is a fiókhoz a támadók, és ezért kellett a jelszóváltás ellenére is kiléptetni, mert ezzel lejártak a lopott tokenek.

Az esetből sokféle tanulságot leszűrhetünk, és ebből csak az egyik az, hogy a Facebookkal ezek szerint különösen vigyázni kell. Fontos észben tartani, hogy a kibertámadók mindig ott fognak lecsapni, ahol tömegek vannak. Így volt ez akkor, amikor még a Windows volt a vezető platform, és így van a weben is a Facebookkal, és ez lesz igaz bármire, ami csak ezután lesz sok százmillió netező gyülekezőhelye. Az is biztos, hogy érdemes minden védelmi funkciót kihasználni, amit csak elérhetővé tesznek ezeken a platformokon.

Már csak az a kérdés, hogy vajon mire jut majd a Facebook adatvédelmi, és feltehetően azon is túlnyúló kibertámadási ügyét vizsgáló európai hatóság, amely pusztán a személyes adatok kikerülése miatt is vaskos bírságot szabhat ki az amerikai cégre.