Logo
עיקרי טֶכנוֹלוֹגִיָה מה למדתי כשהאקר גנב את זהותי והשתלט על חשבון הפייסבוק שלי

מה למדתי כשהאקר גנב את זהותי והשתלט על חשבון הפייסבוק שלי

ההורוסקופ שלך למחר

ביום רביעי שעבר התעוררתי לשני מיילים מפייסבוק. האחת הודיעה לי שכתובת הדוא'ל הראשית בחשבוני הועברה לחשבון Hotmail שלא השתמשתי בו מאז 2009. השנייה הודיעה לי שהסיסמה שונתה בחשבון הפייסבוק שלי. נפרצתי.

למרבה המזל, שני הודעות הדוא'ל הכילו קישורים לדפים שבהם אוכל לאבטח את חשבוני במקרה והפעולה לא הייתה מורשית. למרבה הצער, הדפים עלו בטורקית. (בקרוב גיליתי מדוע זה היה המקרה.) Google Chrome, הדפדפן בו השתמשתי, הציע תרגום אוטומטי של הטקסט, אך התרגומים לא הועילו במיוחד.

שיין מדג' ושרה רובין התחתנו

זה היה גרוע. אני משתמש פייסבוק כבד למדי, בין השאר בגלל שמעקב חברתי גדול הוא דבר שימושי לעיתונאי, וחלקו בגלל שאני חזיר שאוהב את תשומת הלב שאני מקבל מפוסטים של דברים מצחיקים או פרובוקטיביים. כמו כן, כשאני מארגן דברים שלא מהווים כוח שלי, יש לי הרגל רע להתייחס לפייסבוק כאל תופס עבור תמונות, כתובות דוא'ל, כל מיני דברים שאני רוצה לתלות בהם.

עכשיו הכל היה בידיו של מישהו אחר. אבל כדי להחזיר את זה, נימקתי, כל מה שהיה עלי לעשות הוא לשכנע חברה שלה לחם וחמאה זהות דיגיטלית שאני אני. קל, נכון?

בעצם לא. עמדתי לגלות עד כמה תהליך הוא ממש זמן רב, אבסורדי ומכעיס.

בפאניקה קצת שלחתי אימייל לחצי תריסר אנשים שאני מכיר שעובדים בפייסבוק. כמה מהם היו חברים אישיים, כמה אנשי קשר ליחסי ציבור שאני מכיר מסיקור החברה. אבל זה היה לפני 7 בבוקר בקליפורניה, אז לא ציפיתי לתגובה מיידית.

בינתיים ידעתי דבר אחד בוודאות: זו הייתה אשמתי. מאז 2011, בפייסבוק יש הציע אימות דו-גורמי , אמצעי אבטחה שלא מאפשר כניסה לחשבון ללא קוד חד פעמי שתוכלו לקבל רק בהודעת טקסט. אימות דו-גורמי מאובטח ביותר, אך מעולם לא הפעלתי זאת. זה גם היה, הבנתי מיד, מטומטם שיש כתובת דוא'ל ישנה המשויכת לחשבון שלי. שמרתי את זה שם למקרה שאינעל אותי מחוץ לפייסבוק, אבל הסיסמה ב- Hotmail שלי הייתה חלשה בסטנדרטים של 2015.

אז כן: אשם. להגנתי, לעומת זאת, הייתה לי סיבה לחשוב שפייסבוק שומרת עליי. כמו עיתונאים רבים, אני משתמש מאומת, עם סימן ביקורת כחול קטן כדי להראות שפייסבוק אישרה את זהותי. זה לא היה מעמד קל להשיג. הייתי צריך להעלות את רישיון הנהיגה שלי כדי לקבל אותו.

לפחות הם יודעים מי אני. ימין?

פייסבוק יודעת עלי כמעט הכל. תוכנת זיהוי הפנים שלה כל כך טובה מזהה אותי בתמונות אני לא מתויג. אם למרות זאת הייתי צריך לנקות רף גבוה כדי להוכיח שאני אני, אין ספק שמי שמנסה להצטייד בתור אלפי אלפי החברים ו -50,000 העוקבים שלי יצטרך לנקות את אותו הרף. ימין?

בהצעת חבר דובר מחשב, החלפתי דפדפנים מ- Chrome ל- Safari וזכיתי בגרסה אנגלית של הדף Secure Your Account. זה לא היה שימוש רב, עם זאת. מבחינת פייסבוק, כבר לא היה לי חשבון לאבטח. ההאקר שינה את שמו, כתובת הדוא'ל ואפילו תמונת הפרופיל לשלו. מבחינת פייסבוק הייתי איש לא אישי. אולם לאחר ניסוי וטעייה הצלחתי לאתר את החשבון שנקרא בעבר ג'ף ברקוביצ'י. עכשיו זה היה שייך לאיש בטורקיה בשם חמזה.

לחצתי על כפתור זה החשבון שלי ועניתי על שאלת אבטחה כדי להתחיל בבדיקה. זה צריך להיות די ברור, חשבתי, שלא שיניתי את שמי לחמזה, שיניתי את כתובת הדוא'ל שלי, עברתי לטורקיה ועברתי ניתוחים פלסטיים, והכל תוך פרק זמן של שעות.

כשחושבים על זה, זה היה די מוזר שמישהו יכול לעשות את כל הדברים האלה בלי להמעיש אזעקות. כשזה קורה, בזמן שכל זה התרחש, קיבלתי הודעה מהבנק שלי וביקש ממני לאשר רכישה קטנה שביצעתי בסופרמרקט, רק בגלל שלא קניתי שם קודם. האם שינוי כל פרט בחייכם בן לילה אינו חשוד לפחות כמו קניית כובע קש וקפה קר? ואנחנו מדברים על פייסבוק, חברה כל כך מכרסמת על הצורך בזהויות אמיתיות, זה זמן רב אפילו לא יתנו לאנשים טרנסג'נדרים להשתמש בשמות המועדפים עליהם .

כשהפיקה מחליפה עכשיו את הבהלה שלי, הפניתי את תשומת ליבי להוטמאיל. טופס שחזור החשבון המקוון של מיקרוסופט מחייב את בעל החשבון לספק מידע אודות הפעילות האחרונה בחשבון - אנשים ששלחתם דוא'ל, שורות נושא של הודעות דוא'ל אלה, דברים מסוג זה. כמו רוב האנשים שאני מכיר, הפסקתי להשתמש ב- Hotmail בסביבות 2009, אז לזכור את פרטי הדוא'ל האחרונים ששלחתי היה הזמנה גבוהה. שלחתי דוא'ל את החברים והמשפחה שלי, וביקשתי מהם לחפור בדוא'ל הישן שלהם כדי למצוא את ההתכתבות האחרונה איתי בכתובת זו, אבל מה שחזרתי לא הספיק כדי לספק את מנוע האבטחה של מיקרוסופט. אחרי שלושה ניסיונות לא מוצלחים נאמר לי שהגעתי למגבלת היום שלי. נסה שוב מחר.

סוף סוף שמעתי מאחד מאנשי הקשר שלי ליחסי ציבור בפייסבוק, שאמר לי לשבת חזק בזמן שהיא מנסה להגיש את התיק שלי מול מישהו שיכול לעשות משהו בנידון. מאוחר יותר, היא אמרה לי שהוחזקה בחשבון. בחור בשם אנדרו מצוות פעולות הקהילה של פייסבוק שלח לי דוא'ל לשאול כמה שאלות. עניתי להם והלכתי לישון.

התעוררתי ביום חמישי בבוקר לדוא'ל שמיידע אותי שאני יכול להתחבר לחשבון שלי. הקלתי, עשיתי זאת. רק שזה כבר לא היה החשבון שלי. הכל נמחק - החברים שלי, התמונות שלי, ההודעות שלי. מלבד כמה עמודים 'לייקים', כל העדויות לתשע שנותיי כמשתמש פעיל בפייסבוק נמחקו. תמונות חתונה, ברכות לימי הולדת, חילופי דברים אקראיים עם חברי ילדות שלא ראיתי 20 שנה - כל הדברים שפייסבוק מכנית מזמין אותך להיזכר , נעלם.

זה לקח קצת מאמץ, אבל נשארתי רגועה. זה לא היה ממש נעלם נעלם. אחרי הכל, פייסבוק עצמה אומר זה לוקח עד 90 יום למחוק את הנתונים שלך, גם כאשר אתה רוצה שכל אלה יימחקו. שלחתי בדוא'ל לאנדרו וביקש ממנו להחזיר את כל הדברים האלה. שמעתי במהירות.

'למרבה הצער, לפייסבוק אין יכולת לשחזר תוכן שהוסר מהחשבונות', כתב. 'אנו מתנצלים על אי הנוחות שהדבר עלול לגרום לך.'

'אנו מתנצלים על אי הנוחות'?

זה הזמן שנכנסתי לתקרה.

במשך תשע שנים פייסבוק פנתה אלי להתייחס אליו כאל ספר הטלפונים שלי, אלבום התמונות שלי, היומן שלי, הכל. אולם בכל מקום בו הוא אחסן את כל הדברים שלי היה כה ארצי, רמאי חצי-פנים יכול היה למחוק את הכל באופן בלתי הפיך? אחרי שהמשכתי לטפל בטוויטר זה, איש הקשר שלי בפייסבוק שלח לי דוא'ל שוב, כדי לומר אל תוותרו על התקווה עדיין.

כדי להעביר את הזמן התחלתי לשוב ולהתלונן על הוטמייל. עד עכשיו קיבלתי דוא'ל ממיקרוסופט שהודיעה לי שההחלמה נכשלה לצמיתות. לא היה מנוס - עד שחבר בקולג 'שעבד במיקרוסופט לאחר סיום הלימודים ראה את הציוצים המיואשים שלי והציעו לעזור. תוך מספר שעות צוות הסלמות בטיחות מקוונת של מיקרוסופט נקט בתיק ופתר אותו. התברר שמבחינה טכנית לא פרצו לי בכלל. חמזה לא היה צריך. מכיוון שהחשבון שלי היה רדום יותר מ -270 יום, כתובת הדוא'ל שלי חזרה למאגר הכתובות הזמינות.

לא הייתי מודע לכך מדיניות זו , היוצר פגיעות אבטחה ברורות עבור משתמשי Microsoft לשעבר. (אולי מיקרוסופט רואה בזה כלי לשימור לקוחות: המשך להשתמש בחשבונך או להשתמש בו נגדך?) בכל מקרה, לאחר שקבע שהשימוש של חמזה בחשבוני היה הפרה של תנאי השימוש הברורים - צוות הבטיחות של מיקרוסופט אמר לי שהוא ניסיתי לאפס את סיסמאות הטוויטר והאינסטגרם שלי - מיקרוסופט סגרה אותה.

בזמן ההמתנה בפייסבוק הגעתי לחמזה. לא ציפיתי לתגובה, אבל הייתי סקרן: ככל שיכולתי לדעת, הוא השתמש בשמו האמיתי. או לפחות זה היה אותו שם ותמונה כמו על שמו חשבון טוויטר , שמקשר גם שלו אתר אינטרנט , שם הוא מזהה את עצמו כ'מומחה למדיה חברתית '.

איזה סוג של האקר משתמש בשמו האמיתי?

ואז, אחרי אני קרא לו בטוויטר הוא אפילו אהב חבורה של ציוצים שלי. Who היה הבחור הזה?

להפתעתי שמעתי ממנו כמה פעמים. האנגלית שלו הייתה גרועה עוד יותר מהתרגומים האוטומטיים של כרום, אבל חבר של חבר תרגם את הטורקית שלו.

חמזה התנצל על פריצתו. הוא עשה את זה כי הוא רצה חשבון מאומת, אמר, אבל עכשיו הוא הרגיש רע. הוא שמר את התמונות שלי ויכול היה לשחזר אותן - אם הייתי נותן לו את הסיסמה שלי.

סירבתי להצעה הנדיבה הזו ושאלתי אותו מדוע ניסה לגנוב גם את חשבונות הטוויטר והאינסטגרם שלי. הוא התנצל שוב ואמר שזה רק סימן הביקור הכחול שלי מפייסבוק שהוא רדף אחריו.

ואז הוא ביקש ממני להוסיף אותו כחבר.

זה שחמזה היה חריג כל כך מוזר של האקר, זה בחלקו הסיבה שהוא הצליח לחמוק מגניבת חשבוני כל עוד הוא עשה זאת. ביום שישי שוחחתי עם ג'יי ננקארו, ראש התקשורת של צוות האבטחה של פייסבוק. הוא אמר לי שפייסבוק אכן משתמשת בתוכנות לזיהוי הונאות כדי לאתר פעילות חשודה בחשבונות. אם חמזה, למשל, שלח הודעות לכל אנשי הקשר שלי, או אהבתי דפים ספציפיים, ייתכן שהדבר הביא לבדיקת אבטחה אוטומטית. אך מכיוון שלא עשה זאת ובגלל שהוא ניגש לחשבון באמצעות כתובת דוא'ל שהייתה משויכת אליו שנים רבות, היה לו חלון לפני שהצלחתי לדווח עליו.

ברגע שעשיתי זאת, חשבונו הושעה בסופו של דבר - אם כי באופן מוזר, רק ליום בערך. הוא חזר עכשיו לפייסבוק. ככל שהאקרים הולכים, הוא נראה שפיר יחסית, אז לא אכפת לי במיוחד, אבל עדיין: באמת?

איך בכלל יכולתי להימנע מכל זה? ננקארו אמר לי את מה שדי כבר ידעתי. הפעל תמיד אימות דו-גורמי, משום שהשימוש בו הוא כאב קטן בהרבה בתחת מאשר ניסיון לתקן את הנזק מפריצה. באותה מידה, ערוך סקירות תקופתיות של המידע האישי בכל חשבונותיך כדי לוודא שהמידע מעודכן. חשבונות מיושנים ולא מאובטחים יכולים וישמשו נגדך.

אה, כן: עד שדיברתי עם Nancarrow, כמעט כל התוכן שלי הוחזר לדף הפייסבוק שלי. הוקל לי אבל למען האמת, לא מופתע נורא. אני אולי לא קארה סווישר, אבל אני עדיין עיתונאית טק, כזו שראיינה את שריל סנדברג, פגשה את מארק צוקרברג וסיקרה את פייסבוק בהרחבה. חשבתי שהחברה תשלים את התחנות בשבילי.

אבל באופן מצחיק, זה רק כדי לחזק את הלקח החשוב ביותר שלמדתי מהפרק הזה, אחד על אופי הפלטפורמות הדיגיטליות הגדולות שעליהן אנו מנהלים כל כך הרבה מחיינו. הם לא חברים שלנו. לא אכפת להם מאיתנו. כמשתמש רגיל הייתי מגיע לשום מקום עם פייסבוק או מיקרוסופט. עם שתי החברות הסתיימתי לאחר שמיציתי את כל המשאבים העומדים לרשות הציבור הרחב. שחזרתי את חשבון הפייסבוק 'שלי', אבל לא היה שום לחצן לדווח שכל הנתונים שלי נמחקו, שום כתובת אימייל שאוכל לדווח עליה.

כמה גבוה אווה לארו

הם תמיד יכלו לשחזר את כל התוכן שלי, אבל כל עוד הם חשבו שאני סתם אזרח אחר, הם לא התכוונו לנסות. רק בגלל שבמקרה יש לי עבודה שנותנת לי גישה לאנשים בפייסבוק - ובגלל שבמקרה יש לי טוויטר נכבד והלכתי למכללה שיש לה מחלקה מובילה במדעי המחשב - קיבלתי את תשומת הלב נָחוּץ.

לחברות הגדולות בעולם המקוון יש מאות מיליוני משתמשים ואפילו מיליארדי משתמשים, מה שעלול לגרום להם להיראות לא אישיים להתמודד איתם. אבל זה לא בלתי אישי. זה עדיין הכל על מי שאתה מכיר. רק שעבור רובנו התשובה היא: אף אחד.

וזה בדיוק מי שרובנו הם להם.

מומלץ

טרייסי אדמונדס ביו
טרייסי אדמונדס ביו
אהרון מרינו (אלפא M) ביו
אהרון מרינו (אלפא M) ביו
מנכ'ל Fab מכריז על סבב פיטורים נוסף
מנכ'ל Fab מכריז על סבב פיטורים נוסף

מאמרים מעניינים

מתיו גריי ביו
מתיו גריי ביו
אלי זיילר ביו
אלי זיילר ביו
האמת על הנעת הצוות שלך שרוב המנהיגים אינם מכירים
האמת על הנעת הצוות שלך שרוב המנהיגים אינם מכירים
לארס אולריך ביו
לארס אולריך ביו
הורוסקופ שבועי של מזל תאומים
הורוסקופ שבועי של מזל תאומים
אדי רדמיין ביו
אדי רדמיין ביו
דוויין וויינס ביו
דוויין וויינס ביו
כיצד להגדיר את שוק היעד שלך
כיצד להגדיר את שוק היעד שלך
אל תשכר איש מכירות שאין לו את התכונות האלה
אל תשכר איש מכירות שאין לו את התכונות האלה
מה אם כולם היו מתנהגים כמו רון סוונסון?
מה אם כולם היו מתנהגים כמו רון סוונסון?
ויליאם פיטרסן ביו
ויליאם פיטרסן ביו
בנט אומלו ביו
בנט אומלו ביו