Розкажу і я, як мене хакнули тиждень тому.
Крок 1: Показали мені у Facebook рекламу Tik.
Tok Business «Отримай $3 тис., щоб спробувати рекламу в Tik.
На цьому етапі все виглядало доволі логічним: Tik.
Tok нарешті запустив бізнес рекламу і агресивно просувається, щоб якомога швидше залучити рекламодавців.
Tok треба якнайдорожче продатись, то чому б і ні.
Приклад подібної реклами, але та вела в додаток, а не на сайт:.
Реклама у Facebook.
Лого Tik.
Tok, все канонічно.
Крок 3: В додатку кнопка «Отримати купон», котра просить залогуватись у Facebook.
Тут у мене зародились сумніви.
Але я подумав, що вони, можливо, захочуть запостити в мою стрічку щось на зразок «Користуйся Tik.
Tok для бізнесу» чи зібрати інфу про мене, чи в них single sign-on через Facebook.
Одним словом ввів я їм свій логін і пароль.
Подумав: у мене ж двофакторна авторизація, чого мені боятись, цікаво що далі.
Смс для підтвердження також увів.
Крок 4: Мені показали 10-значну цифро-буквенну комбінацію.
Я не зрозумів де її застосовувати і вирішив глянути за окремим додатком для бізнесу.
Тут я відволікся на інші справи.
Крок 5: За 15 хвилин мені приходить імейл, що мене видалено з бізнес-аккаунта у Facebook, яким я управляв для свого товариша.
Його видалено також.
Я не врахував, що я верифікував їх браузер, тож вони з нього можуть управляти моїм акаунтом.
Я одразу змінив пароль і пройшов усі процедури перевірки.
Написав в підтримку Facebook , зробив скріншоти «Чому я бачу цю рекламу?».
Крок 6: За декілька днів приходить лист, що з рекламного аккаунта витрачено $2000.
Зараз спілкуюся з підтримкою Facebook, сподіваюсь, що вони повернуть бізнес-аккаунт зі сторінкою і обнулять рекламний аккаунт (доступ до сторінки пізніше відновили, про витрачені гроші на рекламу поки невідомо – прим.
Висновок: впевненість у правильності колись зроблених кроків безпеки – це добре, але з’являються нові методи, тож треба бути уважними.
Я проколовся на гіпотезі, що браузер потрібно верифікувати кожного разу двухфакторною авторизацією.