skip to main | skip to sidebar
35 commenti

Come rubare un profilo Facebook senza essere esperti informatici

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/07/05 14:25.

Di solito mi capita di raccontare attacchi informatici basati su vulnerabilità del software usato dagli utenti o su difetti nella sicurezza tecnica dei social network, ma stavolta ho da raccontare un altro approccio, che serve come chiaro promemoria di una cosa fondamentale: siccome noi utenti per i social network siamo soltanto mucche da mungere, a loro della nostra sicurezza non importa praticamente nulla.

Se i nostri post intimi, che abbiamo impostato come privati perché sono appunto privati, finiscono per diventare pubblici per errore, rovinando un’amicizia o un amore o una carriera, il problema è soltanto nostro, non loro. Quindi pensateci bene prima di affidare a un social network qualunque informazione personale, perché per rubarla non ci vuole nemmeno una gran competenza informatica. Basta chiedere educatamente.

Lo sa bene Aaron Thompson, un ventitreenne che vive nel Michigan. Il 26 giugno scorso si è accorto che non poteva più accedere al proprio account Facebook e che l’indirizzo di mail e i numeri di telefono associati all’account erano stati cambiati.

Ha guardato la propria mail e vi ha trovato uno scambio di messaggi fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account. L’intruso, per evitare la verifica in due passaggi (autenticazione a due fattori), aveva mandato una richiesta di aiuto all’assistenza clienti di Facebook, dicendo che aveva perso l’accesso al proprio numero di telefonino e chiedendo di disattivare l’approvazione degli accessi e il generatore di codici. La richiesta dell’intruso non proveniva dall’account di posta di Thompson (“the hacker didn't have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from.”).

La risposta automatica dell’assistenza clienti era stata molto semplice: l'interlocutore doveva dimostrare di essere il vero Aaron Thompson mandando una scansione di un documento d’identità.

L’intruso aveva risposto mandando questa immagine (alcuni dati sono oscurati nell’immagine qui sotto, ma non lo erano nell’originale inviato a Facebook):

Nessuno dei dati sul passaporto era esatto, a parte il nome, eppure questo è bastato a Facebook per “verificare” l’identità e disattivare tutte le protezioni sull’account di Thompson, cedendone il controllo all’intruso. Facebook poteva confrontare le informazioni nell’account con quelle nel finto passaporto, ma non ha fatto neanche quello.

La motivazione del furto dell’account era probabilmente economica: Thompson ha una serie di pagine Facebook che hanno vari milioni di “Mi piace”, altamente monetizzabili per esempio per uno spammer. Ma l’intruso si è limitato a inviare alcune foto oscene e qualche insulto.

Per riavere il controllo del proprio account su Facebook, Thompson ha dovuto raccontare pubblicamente la propria disavventura su Reddit. La notizia che basta un documento falso per convincere Facebook a disabilitare la verifica in due passaggi, cambiare la mail associata all’account e cambiare la password si è diffusa rapidamente.

Facebook è intervenuta, come racconta Motherboard, e ha ripristinato la situazione, dicendo che “aver accettato questo documento d’identità è stato un errore che ha violato le nostre prassi interne”. Sì, però nel frattempo è successo. Ricordatevelo. E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (35)
>>E ricordate che è per motivi come questo che non si devono mai dare a sconosciuti scansioni dei propri documenti.

Ecco, spieghiamolo alle anime belle che postano allegramente la foto della patente appena presa, ovviamente con TUTTI i dannati dettagli in bella mostra.

Anime belle che, per la maggior parte dei casi, sono in età da voto.
Il tuo accanimento selettivo su certi temi, condito sovente da considerazioni a effetto che sfiorano le paranoie complottiste (dopo Big Pharma, i Big Social), è fuorviante; il fuscello se riguarda i social diventa la trave; le travi con cui invece abbiamo a che fare quotidianamente invece non esistono.

Qualche esempio:
- 20 minuti fa ho appreso che la tale tradisce il proprio marito con il tale, senza aver chiesto niente a nessuno e pur non essendo la cosa pubblica. Di informazioni come queste, la cui diffusione comporterebbe degli stravolgimenti considerevoli alla vita degli interessati, piuttosto che informazioni più innocue ma altrettanto sensibili (come malattie o condizioni fisiche), beh, ne sento di continuo - pur non fregandomene niente. Pensa te se le cercassi
- tempo addietro una persona ha avuto informazioni relativa alla mia situazione in banca: le è bastato chiedere ad un suo amico che lavora lì. E non si parla della banca dei puffi
- la signora che abita al piano di sotto e che esce raramente potrebbe, se solo volesse, stilare un registro della mia attività sessuale; nonché un registro di quando entro ed esco da casa, con chi, se prendo la macchina oppure no, e così via. Se poi fosse tecnologica potrebbe registrare tutto ciò che viene detto in casa mia attraverso appositi microfoni, così come determinare se la casa è occupata, da quante persone e in che stanze. E potrebbe diffondere queste informazioni in tempo reale

Potrei andare avanti. Questo per dirti che se c'è uno che ti vuol fregare probabilmente si, trova il modo di fregarti anche sui social; ma ti frega molto peggio nella vita reale (se hai qualcosa da nascondere poi ciao, non fa in tempo a mettercisi che sei già fottuto) proprio perché tra privacy e condivisione (e/o buonafede) tutti noi scegliamo la seconda, per lo meno finché non ci scottiamo... e dato che normalmente non ci scottiamo o ci scottiamo poco nel mondo reale - nonostante tutto - perché dovremmo stracciarci le vesti per i singoli casi oppure per i "potrebbe capitare"?

Sarà che da ragazzino il "potrebbe [qualcosa]" l'ho sentito fin troppo, ora che ragazzino non sono più... il potrebbe lo uso come carta igienica. Mi preoccupo DI QUELLO CHE E', non di quello che potrebbe essere. Quella si chiama paranoia.

Ps: ciao Paolo, stai bene? :)
@Tommy the BIker:
ma che, non le sappiamo già le obiezioni?
"ma tanto io mica c'ho niente da nascondere..."
"eh, se vogliono guardare i miei dati personali che facciano pure, chemmefregaamme?"
"massì, eppoi che ce fanno? li rivendono? proprio i miei di dati? sai che problema, tanto per quel che valgono..."

fino ai più consapevoli:
"vabbè oh, qualcosa dovrai pur darlo in cambio, tutto il social è gratis: se mi vogliono mandare della pubblicità pazienza..."


PS: non c'entra niente, ma... quello è DAVVERO l'interno di un passaporto americano?
santo cielo, ed io che pensavo che peggio di certe cravatte che si vedono nelle loro campagne elettorali non potesse esserci nulla...
proprio una robina sobria, di classe... 😂
@FX:
Il problema è diverso, molto diverso. Nella vita reale siamo abituati a chiudere la porta di casa a chiave se usciamo, a tenere il portafoglio chiuso in tasca se saliamo su una metropolitana, ad abbassare la voce se vogliamo dire qualcosa che non vogliamo sia sentita attorno a noi. E' chiaro che, anche nella vita reale, non possiamo essere preparati alla vicina di casa che registra i nostri spostamenti.
Il fatto è che la vicina impicciona non cagiona molti danni perchè NON ha accesso alla nostra vita quotidiana, non conosce il nostro capo ufficio, non frequenta il pub in cui beviamo e così via. L'impiccione informatico, una volta entrato in possesso di dati sensibili, è già dentro la nostra vita perchè è automaticamente in contatto con tutto il nostro mondo. Il concetto è sottile ma non va dimenticato perchè crea danni enormi (a noi raramente economici, ma spesso psicologici).
Tempo addietro ad una collega con cui lavoro è stato dato un incarico professionale da un comune. Il comune ha, come la legge prescrive, pubblicato la delibera in questione SENZA annerire i dati sensibili e la fotocopia della C.I. . Risultato: 14 (!) finanziare aperte in un solo giorno, una bmw acquista e CONSEGNATA al ladro , e non so che altri problemi!. E adesso lei sta passando l'inferno per farsi cancellare dal CRIF e risolvere tutti i guai.
Il danno, ovviamente, non l'ha fatto lei, ma comunque grazie ad internet, delle persone da lei molto distanti le hanno procurato problemi enormi.
Quindi la trave c'è ed esiste: è una trave perchè è ancora sottovaluta dalla grande maggioranza di utenti.
"Ha guardato la propria mail e vi ha trovato uno scambio di mail fra l’assistenza clienti di Facebook e l’intruso che aveva preso possesso del suo account" Quindi prima dell'account gli aveva già presso possesso della sua posta.
@Fx
La vita virtuale per essere tutelata richiede pochi semplici accorgimenti, quella reale implica una radicale modificazione delle abitudini. Se non vuoi che la tua vicina conosca la tua vita sessuale, ovviamente la soluzione è fare silenzio assoluto (o astenersi...) e questo è una limitazione abbastanza pesante della tua privacy; non parlarne su facebook è moooolto più semplice, non trovi?
Sapere che hai frequentato il liceo Donegani non è un'informazione sicuramente importante, ma da lì potrebbe partire un social engeneering di un certo tipo, magari...
E poi Paolo di cosa si occupa, scusa? Di privacy in senso generale o di privacy informatica? Deve darci lezioni di come si parla a bassa voce se hai la finestra di cucina aperta? O piuttosto mettere in guardia sulla prudenza che è opportuno avere nel postare riferimenti precisi alla nostra vita privata?
Tu hai mai memorizzato qualche password in un browser? Sicuro che avendone una non si possa risalire a qualcos'altro che poi ti permette di arrivare in sequenza a qualcosa di "succoso"? Io, parlo di me stesso, non ne sono così sicuro. Certamente non ho bisogno che qualcuno mi dica di non digitare il PIN del bancomat disinvoltamente senza cercare di coprirlo in parte, quando sono in pubblico, così come non metto volentieri la mia CC in un sito (infatti uso una ricaricabile).
Ciao FX (e non uso il tuo vero nome per privacy...), come stai?
@FX: è vero che "se c'è uno che ti vuol fregare probabilmente si, trova il modo di fregarti"... ma un conto è questo, un altro è dare in giro *di tua sponte* tutti i mezzi necessari a fregarti.

I ladri esistono da tempo immemore e nessuna serratura è a prova di ladro, ma da qui ad uscire di casa lasciando la porta aperta e i monili d'oro sul mobiletto nell'ingresso ce ne passa. Non so se mi spiego.

Online, la gente fa proprio questo: esce di casa con la porta spalancata. Quindi, trovo che l'"accanimento" di Paolo sia assolutamente giustificato. In particolare quello verso le nuove generazioni, perché ti assicuro che loro altro che lasciare la porta aperta, la quasi totalità dei ragazzini se ne va in giro regalando le chiavi di casa a tutti i passanti che incontra...
Aaaaah mi mancava Fx con le sue imprese alpinistiche sugli specchi ;)
Una risposta generale a tutti: mi irrita il disordine. Non quello del calzino lasciato in giro (o di tutto di più lasciato in giro, descrizione breve del mio ufficio), ma quello mentale. Oggi siamo continuamente bombardati di informazioni fuorvianti. La farina è veleno, lo zucchero è veleno, la carne è veleno, i vaccini sono veleno, e così via per un milione e mezzo di cose.

Oggi esistono solo informazioni che trattano questioni dal punto di vista qualitativo, non quantitativo, e lo scopo è far clamore, non aiutare a porre una priorità. Se oggi vediamo la gente scema come mai in passato (tutti noi conosciamo storie che partono dal vegano estremista ad andare in là - io so del tale che al figlio proibiva di bere acqua che era veleno, rimpiazzata dal succo di carota - mi vien male solo a pensarci) sono proprio i risultati di questo bombardamento. Se dovessi chiedere, perfino voi, pur non essendo rappresentativi della media, fallireste nel mettere in ordine di gravità un elenco di rischi (di salute, ad es.). Qualche tempo fa ho letto un sondaggio a riguardo, sui rischi di morte: come prevedibile, c'era una forte la discrepanza tra i risultati e la realtà. E si sta parlando della pelle, il che significa che sottovalutare quelli reali e esasperare quelli improbabili statisticamente porta ad alleggerire la guardia laddove dovresti prestare maggiore attenzione, e quindi, in conclusione, più morti di quelli che ci sarebbero altrimenti. Se ad es. mille persone che adottano un'alimentazione non corretta sottovalutano i rischi che corrono, statisticamente andranno incontro a problemi di salute in modo maggiore rispetto a un altro gruppo con lo stesso problema di base ma consapevole dei rischi (perché ovviamente, in una certa misura, andranno a porre dei correttivi).

Il fastidio che nutro per certi articoli di Paolo è perché per la mia percezione - purtroppo - fa parte di coloro che danno un'informazione qualitativa senza dare una misura. Nel caso specifico potrebbe essere un singolo errore, umano, fatto dallo staff di Facebook; non ne abbiamo la misura, ma la notizia viene comunque eletta a rischio assoluto, anche se a nessuno di noi capiterà mai (mentre capiteranno, anche solo su Internet, un milione di altre cose di cui nessuno ci aveva mai messo in guardia).

E' informazione questa? Per la mia percezione esattamente il contrario: è distrazione. Per quello dico che è fuorviante. E' un po' come i bugiardini dei medicinali, ci sono un milione di controindicazioni ma fino a qualche tempo fa non c'era dato sapere in che misura la controindicazione era frequente. Dato che ci sono medicinali che hanno come effetto collaterale la morte, capirete che anche assumere un medicinale diventava un atto di fede.

Qui mi manca la quantificazione del rischio. Che probabilità ci sono che uno mi freghi l'account su Facebook in questo modo? Per gli elementi che abbiamo oggi 1 su 1 miliardo e mezzo. 1 a infinito se non hai pagine che hanno un grosso numero di follower.

Basta dirlo. A quel punto diventa "guarda cos'è successo a quel tale", non più "guarda come ti fregano". Così non mi fregano. Punto. Lo faranno in altri modi. Ma se non me lo dici, mi preoccuperò di quello e non magari di lasciare il pc d'ufficio incustodito con tutto loggato. Anzi, starò anche tranquillo perché comunque mi sto ponendo il problema, sto facendo qualcosa per tutelarmi - che poi mi stia tutelando da rischi improbabili e non da quelli probabili, conta poco.

Non ho dubbi che lo scopo di Paolo sia nobile: sensibilizzare e informare. E' che dal mio punto di vista è molto facile ottenere il risultato opposto, fatte certe premesse.
Qualche veloce risposta:

Kersal: se abiti in una grande città probabilmente quello che dici è vero ma è altrettanto vero che se vuole arrecare danni (ad es. recapitare un'informazione compromettente al nostro capo) non credo ci metta molto a scoprire dove lavoriamo. Nella dimensione in cui vivo io tutti conoscono tutti, degli esempi reali ( e non ipotetici) che ho fatto, ovvero i primi due:
- conosco la tale, conosco il marito e conosco la tale da più di vent'anni
- come ho fatto secondo te a venir a conoscenza dell'informazione che A ha detto a B un'informazione che riguardava me?

Guido: quello che dici tu è vero solo in parte. Certe abitudini non le puoi modificare; questo è vero, però tutto parte dalla consapevolezza: considerare ad es. che nelle case di fronte basta ci sia uno con una telecamera da qualche cento euro con lo zoom 1000X per guardarti in casa, beh, magari ti permette di evitare che veda le acrobazie che fai e con chi le fai semplicemente tirando le tende / abbassando le tapparelle. Credo che il ragionamento medio sia "non riesco a vedere fino là, quindi non sono visto": si ma tu hai solo i tuoi occhi, lui ha la telecamera 1000x da 99 euro.

Ma in realtà quest'esempio presuppone che ci sia qualcuno che ti spia di proposito. Nella realtà invece circolano informazioni su di te perché di fondo sei tu che non tratti come riservate le informazioni che ti riguardano. L'esempio che ho fatto, quello dell'amante, ha proprio quell'origine. Insomma, prima di prendere delle precauzioni che modificano le nostre abitudini c'è un mondo di precauzioni che non le alterano e che risolverebbero il 95% dei problemi. Poi, per carità, puoi essere a conoscenza dei rischi e fottertene, io sono abbastanza così: sono sempre andato in fiducia e non m'è mai andata male. Anche perché, torno a quanto ho detto a Kersal, nella dimensione in cui vivo io dove tutti sanno tutto proprio perché, nonostante la privacy stia a zero, funziona - e basterebbe un singolo che abusa delle informazioni che circolano per far scoppiare questioni una dietro l'altra. Anzi, le informazioni che circolano in genere non circolano in modo malizioso ma per semplice condivisione e partecipazione. Un po' come in una famiglia - non è esente da difetti ma complessivamente ci si vuole bene.

Per concludere: sto molto bene, tu? =)

Tommy: è esattamente quel che dico. Prima di preoccuparsi del tale che ha fregato l'account inviando la photoshoppata di un passaporto, preoccupiamoci dell'ABC. Anche se in realtà, nel caso dei social, tutto si chiuderebbe in una semplice e banale regola: considera che tutto ciò che condividi / scrivi è o potrebbe diventare pubblico. Scrivi alla tua amante tramite i messaggi privati / la chat di Facebook? Sbagli perché hai l'amante e sbagli perché, per di più, lo fai male.

Paolo Alberton: shht, stanno parlando i grandi
@Tommy
se poi aggiungi una gestione decisamente "facilona" anche da parte di chi dovrebbe essere piu' attento...
Concordo con Fx: a volte Paolo si lascia andare a prediche che sfiorano il peggiore complottismo, specie quando se la deve prendere con Facebook e i social network.
Qui addirittura è passato a una delle tecniche complottistiche più famose: il click baiting.
Il titolo parla di "Come rubare un profilo Facebook senza essere esperti informatici", ma alla fine il cracker ha:
a) Fabbricato un passaporto falso.
b) Violato l'account mail del malcapitato.
Alla portata di tutti, no? Mica bisogna essere esperti per violare un account email? Chi non è capace di fabbricarsi documenti falsi? E ancora: chi non è admin di una pagina Facebook con milioni di "mi piace", così da essere preso di mira da malintenzionati?
:-D :-D
Fx

Evidentemente ti sbagli, dal momento che stai parlando anche tu :P

"Se oggi vediamo la gente scema come mai in passato (tutti noi conosciamo storie che partono dal vegano estremista ad andare in là - io so del tale che al figlio proibiva di bere acqua che era veleno, rimpiazzata dal succo di carota - mi vien male solo a pensarci) sono proprio i risultati di questo bombardamento."

Basi tutto il tuo ragionamento su questo assunto, che possibilmente è sbagliato.
Per quanto mi riguarda il fatto che si veda "più" gente scema è semplicemente dovuto al fatto che la stessa gente scema che prima non si vedeva ora ha la possibilità di farsi vedere (dal normale cittadino, al giornalista, all'anziano che prima parlava solo al bar). Di conseguenza ciò che scrivi, possibilmente, è aria fritta.
@CPaolo1979
Se falsificare un passaporto è prendere una foto su internet e cambiare un nome e cognome con photshop siamo capaci quasi tutti
Violare un account email è abbastanza facile, ci sono software appositi e servizi a pagamento che te lo fanno su commissione. Se poi il profilo è di una persona pubblica o esposta sui social è ancora più facile.

Sfatiamo il mito che solo chi è "famoso" viene preso di mira. Esistono da tempo software automatici che passano l'intera internet in termini di ip, tutte le permutazioni di login, tutto di tutto, alla ricerca di falle, dati, accessi. E girano 24/7. Quando trovano un qualcosa di utile lo mettono via e continuano. Non importa chi sei, ma cosa esponi su internet e quando sei facilmente bucabile. Se è facile, entrano, controllano, rubano, copiano e richiudono. Se sei un signor nessuno venderanno i tuoi dati, le tue foto (organizzate secondo soggetto eh), le tue email e i tuoi accessi a qualche centinaio dollari. Se sei qualcuno di importante a molto di più. E magari prima di venderle ti ricattano.
Internet è un enorme miniera dove si scava quasi gratis. A volte si trova un filone d'oro con poco, a volte non si trova nulla. Ma se a scavare sono le macchine in automatico è solo una questione di tempo e risorse.
Cpaolo,

Il titolo parla di "Come rubare un profilo Facebook senza essere esperti informatici", ma alla fine il cracker ha:
a) Fabbricato un passaporto falso.


No, non ha fabbricato un passaporto. Ha semplicemente fatto un pessimo fotoritocco digitale di una scansione. Nota che la spalla della persona nella foto è esterna rispetto al fondo bianco.

b) Violato l'account mail del malcapitato.

E lo ha fatto usando una chat dell’assistenza clienti. Se per usare una chat bisogna essere esperti informatici, allora siamo messi male.

A te non piaceranno i miei articoli perché dici che puzzano di complottismo, ma a me non piacciono le accuse basate sull'aria fritta.
Cpaolo,

dimenticavo:

chi non è admin di una pagina Facebook con milioni di "mi piace", così da essere preso di mira da malintenzionati?

Le ragioni per prendere di mira una pagina FB di una persona qualsiasi sono infinite. Stalking. Bullismo. Rivendita in massa per le fabbriche di Like. Tutti siamo interessanti per qualcuno.

Per esempio, magari tu pensi di essere un bersaglio di nessun interesse. Ma per il fatto di aver postato questo commento, ora sei interessante per qualcuno: per me. Potrei decidere di pagare qualcuno per farti un doxxing come si deve semplicemente perché mi va di dimostrarti che hai torto. Ma non sono così vendicativo. Per ora :-)
A proposito di "non sono nessuno, quindi non corro pericoli": pochi giorni fa ho ficcato il naso molto profondamente nella vita digitale di vari "nessuno": gente normalissima, che non conoscevo, scelta a caso dal mio committente (spiegherò tutto fra qualche mese). Hanno tutti scoperto da me cose che non sapevano fossero visibili online.

Tutti, insomma, possono essere bersagli.
AAAAA PAOLO, è proprio quello che dico... se sei bersaglio sei fregato A PRIORI, per il semplice motivo che chi ti vuole fregare fa quello di lavoro, e tu no. Quindi dobbiamo vivere una vita nell'angoscia e continuando a preoccuparsi di cercare di mettere pezze a quei sistemi - dei mille mila - che vengono resi pubblici?

Io preferisco vivere piuttosto che non farlo perché ciò comporta dei rischi. Le campane di vetro le lascio agli altri. Soprattutto se so che i cattivi hanno la punta di diamante.
@Paolo Attivissimo
Credo che quello della spalla sia un granchio, anche i documenti-esempio su siti governativi presentano quel particolare
https://www.uscis.gov/sites/default/files/images/Verification/I9Central/USPassportinside.jpg
Fx,

se sei bersaglio sei fregato A PRIORI, per il semplice motivo che chi ti vuole fregare fa quello di lavoro, e tu no. Quindi dobbiamo vivere una vita nell'angoscia e continuando a preoccuparsi di cercare di mettere pezze a quei sistemi - dei mille mila - che vengono resi pubblici?

No. Ma vivere consapevoli dei rischi effettivi sì. Vivere usando i social network in modo accorto, riducendo gli appigli che possono facilitare il malfattore, sì. Quando esci di casa, lasci la porta spalancata o la chiudi a chiave? Un intruso sufficientemente agguerrito entrerà lo stesso, ma la porta chiusa a chiave terrà fuori i ladruncoli. Per molto crimine online è questione di deterrenza: se un aggressore ha a disposizione 1,3 miliardi di bersagli, si dedicherà a quelli più facili e lascerà perdere quelli difficili.

Comunque, giusto per chiarire, il malcapitato su reddit spiega che l'usurpatore NON ha contattato FB dall'indirizzo email collegato all'account FB, ma da un altro random...e che il passaporto falso non contiene i suoi dati personali (foto, data e luogo di nascita, etc). L'unica cosa che combacia sono il nome e il fatto che entrambi sono afroamericani.
https://goo.gl/4WKCEG
Dan,

confermo il mio granchio e ti ringrazio della correzione. Non avevo mai notato questa particolarità dei passaporti USA, ma l'ho trovata anche qui, tratta da questa notizia.
Ma a nessuno fa impressione che quando FB chiede i documenti si limiti a dire "OK me li hai mandati" senza controllare?
"E lo ha fatto usando una chat dell’assistenza clienti. Se per usare una chat bisogna essere esperti informatici, allora siamo messi male."
Scusa ma nel tuo articolo dove sta scritto che ha violato la mail usando la chat dell'assistenza clienti?
Paolo, chiariamo la vicenda perché quello che ha scritto Dan cambia le carte in tavola e contraddice questa parte dell'articolo:
"Ha guardato la propria mail e vi ha trovato uno scambio di mail fra l’assistenza clienti di Facebook e l’intruso"
Allora, da come è scritto il tuo articolo capisco che qualcuno ha violato la mail del malcapitato e POI ha contattato l'assistenza Facebook.
Se l'hacker ha usato un indirizzo mail "random" come ha fatto la vittima a trovare lo scambio di mail?
Ma poi, Facebook non solo avrebbe accettato la scansione di un documento falso, ma avrebbe accettato anche una comunicazione da una mail a caso?
Il diretto interessato scrive su Reddit:
"Since this keeps on being asked, the hacker didn't have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from. The support ticket in the screenshot is them emailing facebook support from the email the hacker chose!"
Questa per me è la cosa peggiore.
Cpaolo,

Correggi il mio "chat" in "scambio di messaggio con assistenza clienti FB". Ho incluso screenshot e link agli originali per permetterti di ricostruire in dettaglio la dinamica.

Il guardare la propria mail" credo che sia perché a Thompson arrivava copia dei messaggi inviati dall'intruso all'AC FB.

Per il resto, ti ha risposto con un chiarimento anche AmiC (che ringrazio) qui sopra.
Ho visto ora lo screenshot: puzza da km di distanza.
A cosa fa riferimento? Sembra non uno scambio di email, ma piuttosto un dialogo via chat di Facebook.
Ma come poteva il cracker parlare tramite Messanger se non accedeva a Facebook?
Se fosse realmente uno scambio via mail mi chiedo:
a) Come mai Facebook sblocca un account se i messaggi non arrivavano dalla mail da loro conosciuta?
b) Come fa il derubato ad avere questi screenshot se la mail non è sua?
c) Se al malintenzionato hanno solo sbloccato il meccanismo a doppio passaggio, come faceva ad avere la password di Facebook?
Francamente a me sembra un fake di proporzioni galattiche.
Cpaolo,

Francamente a me sembra un fake di proporzioni galattiche.

Allora dovresti spiegare come mai Motherboard ha contattato Facebook e ha ricevuto conferma della vicenda:

"On Tuesday morning, after I reached out to Facebook about the incident, a spokesperson told me that the company had secured Thompson’s accounts and pages, and they were working to reestablish his regular access. “Accepting this ID was a mistake that violated our own internal policies and this case is not the norm,” the spokesperson said. "

Il link è nell'articolo. Prima di gridare al fake, sarebbe sensato almeno leggere gli approfondimenti che fornisco e che linko proprio per questo scopo.
Paolo, cerco di ricapitolare le cose che non quadrano:
a) lo screenshot è quello di uno scambio di messaggi via Facebook: questo spiegherebbe perché lui DOPO ne possa essere venuto in possesso, ma non come possa l'intruso avervi avuto accesso PRIMA.
b) Effettivamente esiste la possibilità di avere copia dei messaggi ricevuti sulla propria mail, ma quella non sembra una webmail, né mi risulta si possa avere copia dei messaggi inviati.
c) Rispetto a questa frase riportata da Amic "they just said they no longer had access to my phone number or email" nello screenshot (e nel tuo articolo) si parla di perdita del numero di telefono e la richiesta dell'intruso è di sbloccargli il meccanismo della doppia autenticazione (il che farebbe presupporre un accesso via mail). Per altro il termine "or" non ha senso: dovrebbe essere "and".

In ogni caso quello che si va delineando sarebbe uno scenario ben più grave: praticamente io dico di essere te, invio una mail all'assistenza di Facebook a cui mando il mio documento, cambiando solo il cognome (abbiamo lo stesso nome) e ho accesso al tuo account.
E invece quadra tutto. Per avere i codici di backup della autenticazione a 2 fattori ci vuole o il telefono o la mail che hai registrato quando l'hai attivata. Ma la mail ti serve per ricdvere la password temporanea. Il mancato possesso di un fattore blocca la procedura.

La mail mostrata nelle catture sembra un app mobile, comunque. E non vedo perché dubitare visto che facebook ha ammesso il problema e confermato la storia. Perché rovinarsi la reputazione ammettendo una leggerezza che non è avvenuta?
Veramente per fregare l'amminostrazione dei gruppi c'è sempre il vecchio sistema da 4 soldi (che funziona solo nei gruppi con almeno 2 admin. Meglio se sono 5 o 6 e non si conoscono tanto tra loro): ti clonano un account, scrivono a tutti gli admin di farti "rientrare" perché sbadatamente si sono de-adminizzati, e appena dentro, buttano fuori tutti gli altri e fanno il diavolo a 4.

Se siete co-admin di gruppi, scrivete a tutti gli altri admin di stare all'erta e verificare 3 volte, meglio al telefono, se succede.

Cià
@Il Lupo della Luna
Invece non quadra: per superare la verifica a due passi ti serve rubare l'account email e il telefono.
SE, come sembra dalla stesura dell'articolo, le cose sono andate così:
a) Tizio ha violato l'account e-mail di Caio
b) avendo problemi a superare l'autenticazione a due passi ha contattato il support Facebook chiedendo di disabilitare tale strumento
c) Facebook ha creduto ad una mail con in allegato un semplice documento qualunque
ALLORA resta il fatto che Tizio ha violato un account email, quindi È un esperto informatico, contrariamente a quanto affermato da Paolo fin dal titolo.
Né è vero che per superare l'autenticazione a due passi serve la mail o il telefono: serve proprio la mail.
Infatti, per accedere a Facebook, una volta che mi sono registrato e ho abilitato l'autenticazione a due passi, posso anche dimenticarmi la password della mail: mi basta conoscere la password di Facebook e mai mi sognerò di contattare l'assistenza per dire che ho un problema perché non riesco più ad accedere al mio account email.
Ancora: Tizio non solo ha violato un account email di Caio, ma ha anche scoperto quale account email Caio utilizza per autenticarsi su Facebook, altra cosa non banale.
Veramente per fregare l'amminostrazione dei gruppi c'è sempre il vecchio sistema da 4 soldi (che funziona solo nei gruppi con almeno 2 admin. Meglio se sono 5 o 6 e non si conoscono tanto tra loro): ti clonano un account, scrivono a tutti gli admin di farti "rientrare" perché sbadatamente si sono de-adminizzati, e appena dentro, buttano fuori tutti gli altri e fanno il diavolo a 4.

Quando arriva una richiesta di iscrizione ad un gruppo, Facebook ti segnala immediatamente da quanto tempo quell'utente è iscritto al social: in questo modo è già possibile scoprire i fake più clamorosi, che magari hanno aperto il profilo da pochi giorni.

Dopodichè, per cadere in un tranello del genere, l'admin del gruppo dovrebbe accettare l'iscrizione di Tizio:
- senza aver controllato la lista admin (dove scoprirebbe che Tizio ne fa ancora parte)
- senza controllato il profilo di chi gli ha fatto la richiesta
- senza essersi prima consultato con gli altri admin (se sono 4 o 5, ce ne sarà almeno uno che si rende conto del tranello, no?)

Insomma, se qualcuno si fa fregare un gruppo in questo modo, vuol dire che se l'è meritato, perchè esageratamente distratto e sprovveduto. Ed è meglio che si sia fatto fregare un gruppo Facebook che non il PIN del suo bancomat o la password del suo account di posta.
No, l'hacker non ha avuto accesso alla sua mail.
Since this keeps on being asked, the hacker didn't have access to my email or password, they just said they no longer had access to my phone number or email, and facebook allowed them to choose the email to lodge the support ticket from. The support ticket in the screenshot is them emailing facebook support from the email the hacker chose

Questa è la cosa che fa incazzare. Hanno trasformato una 2-way authentication in una 0-way authentication.
Ah, e nei commenti al racconto su Reddit viene linkata un'altra storia interessante:
How I lost my $50,000 Twitter username @N