Principal Tecnologia O que aprendi quando um hacker roubou minha identidade e assumiu minha conta do Facebook

O que aprendi quando um hacker roubou minha identidade e assumiu minha conta do Facebook

Quarta-feira passada, acordei com dois e-mails do Facebook. Um me informou que o endereço de e-mail principal da minha conta foi alterado para uma conta do Hotmail que eu não uso desde 2009. O outro me informou que a senha foi alterada na minha conta do Facebook. Eu fui hackeado.

Felizmente, ambos os e-mails continham links para páginas nas quais eu poderia proteger minha conta caso a ação não fosse autorizada. Infelizmente, as páginas apareceram em turco. (Eu logo descobriria por que isso acontecia.) O Google Chrome, o navegador que eu estava usando, se ofereceu para traduzir automaticamente o texto, mas as traduções não foram muito úteis.



quão alto é Jimmie Walker

Isso era ruim. Sou um usuário bastante pesado do Facebook, em parte porque um grande número de seguidores sociais é útil para um jornalista e em parte porque sou um amador que gosta da atenção que recebo ao postar coisas engraçadas ou provocativas. Além disso, organizar coisas não é um ponto forte meu, tenho o péssimo hábito de tratar o Facebook como um catchall para fotos, endereços de e-mail, todos os tipos de coisas nas quais quero me agarrar.



Agora estava tudo nas mãos de outra pessoa. Mas para recuperá-lo, pensei, tudo o que precisava fazer era convencer uma empresa cujo pão com manteiga é a identidade digital de que eu era eu. Fácil, certo?

Na verdade não. Eu estava prestes a descobrir o quão demorado, absurdo e irritante é um processo que realmente é.



Em pânico, enviei um e-mail para meia dúzia de pessoas que conheço que trabalham no Facebook. Alguns eram amigos pessoais, alguns contatos de relações públicas que conheço por causa da cobertura da empresa. Mas era antes das 7h na Califórnia, então não esperava uma resposta imediata.

Nesse ínterim, eu sabia de uma coisa com certeza: era minha culpa. Desde 2011, o Facebook tem ofereceu autenticação de dois fatores , uma medida de segurança que torna impossível fazer login em uma conta sem um PIN único que você só pode receber por mensagem de texto. A autenticação de dois fatores é extremamente segura, mas nunca a habilitei. Também era, percebi imediatamente, muito estúpido ter um endereço de e-mail antigo associado à minha conta. Eu o mantive lá para o caso de ser bloqueado no Facebook, mas a senha do meu Hotmail era fraca para os padrões de 2015.

Então, sim: culpado. Em minha defesa, entretanto, eu tinha motivos para pensar que o Facebook estava cuidando de mim. Como muitos jornalistas, sou um usuário verificado, com uma pequena marca de seleção azul para mostrar que o Facebook confirmou minha identidade. Não foi um status fácil de obter. Tive que carregar minha carteira de motorista para obtê-la.



Pelo menos eles sabem quem eu sou. Direito?

O Facebook sabe praticamente tudo sobre mim. Seu software de reconhecimento facial é tão bom que me reconhece nas fotos Não estou marcado. Se, apesar disso, eu tivesse que passar por cima de uma barreira alta para provar que sou eu, certamente qualquer um que tentasse se passar por mim para meus mais de mil amigos e 50.000 seguidores teria que passar pela mesma barreira. Direito?

Por sugestão de um amigo que fala computador, troquei os navegadores do Chrome para o Safari e fui recompensado com uma versão em inglês da página Proteja sua conta. Não foi muito útil, no entanto. No que se referia ao Facebook, eu não tinha mais uma conta para proteger. O hacker mudou o nome, o endereço de e-mail e até a foto do perfil para o seu próprio. No que dizia respeito ao Facebook, eu era uma não pessoa. Após algumas tentativas e erros, no entanto, consegui localizar a conta anteriormente conhecida como Jeff Bercovici. Agora pertencia a um homem da Turquia chamado Hamza.

Cliquei no botão Esta é minha conta e respondi a uma pergunta de segurança para iniciar uma revisão. Deveria ser bastante óbvio, pensei, que não mudei meu nome para Hamza, mudei meu endereço de e-mail, me mudei para a Turquia e fiz uma cirurgia plástica, tudo em poucas horas.

Pensando bem, era muito estranho que alguém pudesse fazer todas essas coisas sem disparar alguns alarmes. Acontece que, enquanto tudo isso acontecia, recebi uma mensagem do meu banco pedindo-me para confirmar uma pequena compra que fiz em um supermercado, só porque não tinha comprado lá antes. Mudar cada detalhe da sua vida durante a noite não é pelo menos tão suspeito quanto comprar um chapéu de palha e um café gelado? E estamos falando do Facebook, uma empresa tão mesquinha sobre a necessidade de identidades reais, há muito tempo ela nem mesmo permitiria que pessoas transgênero usassem seus nomes preferidos .

Com o ressentimento agora substituindo meu pânico, voltei minha atenção para o Hotmail. O formulário de recuperação de conta online da Microsoft exige que o titular da conta forneça informações sobre as atividades recentes da conta - pessoas para as quais você enviou e-mails, linhas de assunto desses e-mails, esse tipo de coisa. Como a maioria das pessoas que conheço, parei de usar o Hotmail por volta de 2009, então lembrar os detalhes dos últimos e-mails que enviei era uma tarefa difícil. Eu mandei um e-mail para meus amigos e familiares, pedindo-lhes que vasculhassem seus e-mails antigos para encontrar sua última correspondência comigo naquele endereço, mas o que recebi não foi suficiente para satisfazer o mecanismo de segurança da Microsoft. Depois de três tentativas malsucedidas, fui informado que atingi meu limite do dia. Tente novamente amanhã.

Eu finalmente ouvi de volta de um dos meus contatos de relações públicas no Facebook, que me disse para esperar enquanto ela tentava apresentar meu caso a alguém que pudesse fazer algo a respeito. Mais tarde, ela me disse que a conta foi retida. Um cara chamado Andrew da equipe de Operações Comunitárias do Facebook me enviou um e-mail para fazer algumas perguntas. Eu respondi e fui para a cama.

Acordei na quinta de manhã com um e-mail informando que eu poderia fazer o login novamente em minha conta. Aliviado, eu fiz. Só que não era mais minha conta. Tudo foi excluído - meus amigos, minhas fotos, minhas postagens. Além de algumas páginas de 'Curtir', todas as evidências dos meus nove anos como usuário ativo do Facebook foram apagadas. Fotos de casamento, cumprimentos de aniversário, trocas aleatórias com amigos de infância que não vejo há 20 anos - todas as coisas do Facebook mecanicamente ordena você relembrar sobre , foi.

Demorou um pouco, mas fiquei calmo. Não foi realmente foi foi. Afinal, o próprio Facebook diz leva até 90 dias para excluir seus dados, mesmo quando você deseja que todos eles sejam apagados. Mandei um e-mail para Andrew pedindo a ele para restaurar tudo aquilo. Eu rapidamente ouvi de volta.

“Infelizmente, o Facebook não tem a capacidade de restaurar o conteúdo que foi removido das contas”, escreveu ele. 'Pedimos desculpas por qualquer inconveniente que isso possa causar a você.'

'Pedimos desculpas por qualquer inconveniente'?

Foi quando eu bati no teto.

Por nove anos, o Facebook havia me recomendado para tratá-lo como minha lista telefônica, meu álbum de fotos, meu diário, meu tudo. No entanto, onde quer que ele estivesse armazenando todas as minhas coisas, era tão efêmero que um fraudador meia-boca poderia acabar com tudo irrevogavelmente? Depois de fazer um pequeno discurso no Twitter sobre esse assunto, meu contato de RP do Facebook me mandou um e-mail novamente, para dizer não desista ainda.

Para passar o tempo, comecei a reclamar novamente sobre o Hotmail. A essa altura, eu havia recebido um e-mail da Microsoft informando que a recuperação havia falhado permanentemente. Não havia recurso - até que um amigo de faculdade que havia trabalhado na Microsoft após a formatura viu meus tweets cada vez mais desesperados e se ofereceu para ajudar. Em poucas horas, a equipe de Escalações de Segurança Online do Microsoft Outlook assumiu o caso e o resolveu. Acontece que, tecnicamente, eu não havia sido hackeado. Hamza não precisava. Como minha conta estava inativa por mais de 270 dias, meu endereço de e-mail havia voltado para o pool de endereços disponíveis.

Eu não estava ciente de esta política , que cria vulnerabilidades de segurança óbvias para ex-usuários da Microsoft. (Talvez a Microsoft veja isso como uma ferramenta de retenção de clientes: continue usando sua conta ou ela será usada contra você?) Em qualquer caso, depois de determinar que o uso de minha conta por Hamza foi uma violação óbvia dos Termos de Uso - a equipe de segurança da Microsoft me disse que ele Também tentei redefinir minhas senhas do Twitter e Instagram - a Microsoft fechou.

Enquanto esperava no Facebook, entrei em contato com Hamza. Eu não esperava uma resposta, mas estava curioso: pelo que eu poderia dizer, ele usou seu nome verdadeiro. Ou pelo menos era o mesmo nome e foto de seu Conta do Twitter , que também liga ao seu local na rede Internet , onde ele se identifica como um 'especialista em mídia social'.

Que tipo de hacker usa seu nome verdadeiro?

Então, depois de eu chamou-o para fora no Twitter, ele até gostou de um monte dos meus tweets. Quem estava esse cara?

Para minha surpresa, ouvi de volta dele várias vezes. Seu inglês era ainda pior do que as autotraduções do Chrome, mas um amigo de um amigo traduziu seu turco.

Hamza se desculpou por me hackear. Ele fez isso porque queria uma conta verificada, disse ele, mas agora se sentia mal. Ele salvou minhas fotos e poderia restaurá-las - se eu lhe desse minha senha.

Recusei essa oferta generosa e perguntei por que ele havia tentado roubar minhas contas no Twitter e no Instagram também. Ele se desculpou novamente e disse que era apenas minha marca de seleção azul do Facebook que ele procurava.

Então ele me pediu para adicioná-lo como amigo.

O fato de Hamza ser um hacker tão estranho foi em parte por que ele foi capaz de roubar minha conta por tanto tempo. Na sexta-feira, conversei com Jay Nancarrow, chefe de comunicações da equipe de segurança do Facebook. Ele me disse que o Facebook usa software de detecção de fraude para detectar atividades suspeitas nas contas. Se Hamza, digamos, tivesse enviado mensagens para todos os meus contatos ou gostado de páginas específicas, isso poderia ter acionado uma revisão automática de segurança. Mas porque ele não fez isso e porque ele acessou a conta usando um endereço de e-mail que estava associado a ela por muitos anos, ele teve uma janela antes que eu pudesse denunciá-lo.

Assim que o fiz, sua conta acabou sendo suspensa - embora, estranhamente, apenas por um dia ou mais. Ele está de volta ao Facebook agora. No que diz respeito aos hackers, ele parece relativamente benigno, então não me importo particularmente, mas ainda assim: Sério?

Como eu poderia ter evitado tudo isso em primeiro lugar? Nancarrow me contou o que eu já sabia. Sempre habilite a autenticação de dois fatores, porque usá-la é uma dor de cabeça muito menor do que tentar reparar o dano de um hack. Da mesma forma, conduza revisões periódicas das informações pessoais em todas as suas contas para garantir que as informações estejam atualizadas. Contas desatualizadas e não seguras podem e serão usadas contra você.

Ah, sim: quando conversei com Nancarrow, quase todo o meu conteúdo havia sido restaurado para minha página do Facebook. Fiquei aliviado, mas, para ser honesto, não terrivelmente surpreso. Posso não ser Kara Swisher, mas ainda sou uma jornalista de tecnologia, que entrevistou Sheryl Sandberg, conheceu Mark Zuckerberg e cobriu o Facebook extensivamente. Achei que a empresa iria puxar as barreiras para mim.

Mas, de uma forma engraçada, isso só serviu para reforçar a lição mais importante que aprendi neste episódio, uma sobre a natureza das grandes plataformas digitais sobre as quais agora conduzimos grande parte de nossas vidas. Eles não são nossos amigos. Eles não se importam conosco. Como um usuário comum, eu não teria chegado a lugar nenhum com o Facebook ou a Microsoft. Com as duas empresas, cheguei ao beco sem saída depois de esgotar todos os recursos disponíveis para o público em geral. Eu recuperei 'minha' conta do Facebook, mas não havia nenhum botão para relatar que todos os meus dados foram excluídos, nenhum endereço de e-mail para o qual eu pudesse relatar.

Qual é a altura de Night Kagasoff?

Eles sempre poderiam recuperar todo o meu conteúdo, mas enquanto eles pensassem que eu era apenas mais um civil, eles não iriam tentar. Foi só porque eu tenho um emprego que me dá acesso às pessoas do Facebook - e porque eu tenho um grande número de seguidores no Twitter e fui para uma faculdade que tem um departamento de ciência da computação - que eu chamei a atenção necessário.

As maiores empresas do mundo online têm centenas de milhões ou até bilhões de usuários, o que pode fazer com que pareçam impessoais de lidar. Mas não é impessoal. Ainda é tudo sobre quem você conhece. É que, para a maioria de nós, a resposta é: ninguém.

E é exatamente isso que a maioria de nós é para eles.