黑客如何通过一个假护照窃取Facebook用户账号

脸书专业应用企业存在人为失误。一名黑客利用基于网络钓鱼攻击的假护照，成功侵占了一名脸书客户的土地。

攻击发生在6月26日，当时一名身份不明的抢劫者冒充AaronThompson(一名合理的居民和居住在外国弗吉尼亚州的脸书客户)联系脸书的卓越应用团队。

黑客的原信息写道:“嗨，我失去了浏览我的手机联系方式的管理员权限。请关闭代码生成器和登录我的帐户的权限。谢谢大家。”

作为回应，脸书给了黑客一些如何恢复浏览的建议。他们还告诉汤普森的模仿者，如果他仍然不能浏览他的个人信息，他可以向脸书提供两件物品进行认证:他的身份z扫描照片和他所经历的困难的描述。

网络攻击用以下假护照回复了脸书适用卓越团队:

脸书可以很容易地确定护照和签证上提供的所有关键链接与AaronThompson的真实个人信息不一致。然而，这已经足够的网站地址的适用人员。他严格禁止应用汤普森的登录设置，并授予黑客管理员浏览账户的权限。

脸书·汤普森的个人信息上的电子邮件特定地址消息推送消息描述了他的帐户设置的改变:

汤普森这才知道自己被黑客攻击了。然而，到那时，网络攻击已经获得了汤普森的帐户，包括他在脸书管理的许多商业谈判网页的浏览管理员权限。

Motherboard报道称，汤普森确信黑客攻击他是为了更好地锁定他的网页并勒索金钱。

但是网络攻击并没有这样做。相反，他只是向攻击客户的黑客的几个朋友发送了大量信息。最重要的是，他把自己生殖器的照片发给了受害者的女朋友。

Thompson联系了脸书的适用公司，但起初他在解决这个问题时经历了一些困难。这让他非常沮丧，于是他设法在Reddit上分享资源。他讲了一个小故事，讲的是一个人对黑客的“明目张胆的骚扰”感到“非常惊讶”，黑客也惹恼了他和他的交际圈。

“@facebook我明白不容易，但是有人能帮我怎么解决这一件事吗？你可以寄邮件到nekochanfbg@gmail.com。”

——2016年6月28日发表于Yhu(@yhuthere)

不久之后，脸书的应用卓越团队迅速帮助Thompson恢复了浏览其账户和业务页面的管理员权限。

脸书发言人解释说，这一事件不应再次发生:“接受这个ID是一个错误，因为它违反了每个人的内部政策。这种情况不正常。”

不言而喻，无论有多少安全系数功能可以应用于每个人的账户，包括两步认证系统(2SV)，人为错误仍然可以威胁到每个人的账户安全系数。

这ss="superseo">ss="superseo">就是为什么像脸书这样的公司应该不断审查和升级他们的安全系数政策，更不用说按时培训和学习的员工不会被像锁定Thompson的帐户这样的社会工程攻击所迷惑。