Взломать — не строить: Какие выводы можно сделать из скандала со взломом аккаунтов по вине Meta

Meta никогда не являлась образцом для подражания в том, что касается приватности и безопасности. Компания делилась личными данными пользователей с сомнительными персонажами (чего стоит только один скандал с Cambridge Analytica), получала конфиденциальную информацию пациентов больниц и допускала утечки личных данных. Казалось бы, Meta уже нечем удивить того, кто пристально следит за историей становления компании как гиганта тех-индустрии, однако, детище Марка Цукерберга привыкло превосходить ожидания.

Девиз «ломай вещи» не ушёл в прошлое

Два десятка сотрудников и подрядчиков Meta были привлечены к дисциплинарной ответственности или уволены за злоупотребление секретной внутренней системой для восстановления учётных записей пользователей. В некоторых случаях сотрудники получали взятки в тысячи долларов за услуги по восстановлению учётных записей, сообщает Wall Street Journal. Все они использовали инструмент с крайне подходящим названием «Oops» (сокращение от Online Operations), который был разработан для того, чтобы сотрудники могли оперативно восстанавливать учётные записи коллег, родственников, друзей и публичных деятелей. Разумеется, не за деньги.

Meta, ещё в бытность Facebook, пыталась дистанцироваться от своего старого девиза: «двигайся быстро и ломай вещи». Но несмотря на все усилия по ребрендингу (от старого девиза осталось только «двигайся быстро»), слоган «ломай вещи», похоже, всё ещё остаётся актуальным.

Cогласно Wall Street Journal, в одном особенно вопиющем случае, о котором стало известно в ходе внутреннего расследования, сотрудник службы безопасности Meta помог хакерам получить доступ к «многочисленным учётным записям пользователей» за «тысячи долларов в биткоинах».

Фото: CHUTTERSNAP/Unsplash

Другой охранник, которого Meta обвинила в злоупотреблении внутренней системой, рассказал Wall Street Journal, что он получил доступ к «Oops» автоматически с доступом к интранету, т.е. корпоративной сети Facebook. Охранник утверждал, что сам инструмент и то, как им пользоваться (вернее, как им не следует пользоваться), не были освещены в рамках инструктажа. «Они не дали нам никакого свода правил или учебного материала, в котором было бы сказано, чего не следует делать», — сказал он. Охранник, очевидно, рассматривал свой привилегированный доступ к Онлайн-операциям как бонус, которым он не преминул воспользоваться. Когда Meta спросила его об этом, мужчина сказал, что он думал, что делает доброе дело, а именно — помогает вернуть учётные записи их законным владельцам.

Неправильно расставленные приоритеты

В материале Wall Street Journal не упоминается, сколько сотрудников и подрядчиков Meta были уволены, а сколько получили «дисциплинарное взыскание» или, по сути, отделались лёгким испугом — сама Meta подробности не раскрывает. Вызывает беспокойство тот факт, что популярность внутренней системы восстановления учётных записей резко возросла за последние несколько лет. В 2017 году секретный канал использовался для обработки 22 000 задач, а в 2020 году их число выросло до 50 270, согласно Wall Street Journal.

Справедливости ради следует отметить, что количество сотрудников Meta в период с 2017 по 2020 год также увеличилось более чем в два раза — с 25 000 до 58 000 человек. Однако чем больше людей имеют доступ к инструменту, позволяющему де-факто взломать аккаунт любого пользователя, тем выше вероятность того, что этот инструмент будет использован не по назначению — либо по незнанию, либо злонамеренно.

Проблема заключается не только в доступности этого инструмента огромному количеству сотрудников Meta, но и в самом его существовании. На первый взгляд, такие задачи, как восстановление учётной записи и возвращение её законному владельцу, должны решаться службой поддержки компании. Но в случае с Meta служба поддержки работает настолько неэффективно, что можно сказать, что её фактически не существует. Вплоть до недавнего времени Meta не имела канала для своевременной обработки запросов на восстановление.

По некоторым сообщениям, обработка запроса может занять у Meta от 48 часов до 45 дней. Конечно, вы можете, следуя рекомендациям Facebook, попытаться восстановить свой аккаунт самостоятельно. Однако, если взломщик изменил ваш пароль, электронную почту и «отвязал» ваш номер телефона от вашего профиля, считайте, что вам не повезло. Те, кто потерял доступ к своим аккаунтам и нуждается в их скорейшем восстановлении (например, если аккаунт нужен для бизнеса или по иным причинам), вынуждены обращаться к так называемым «специалистам по восстановлению аккаунтов» с якобы связями в Meta.

Фото: Towfiqu barbhuiya/Unsplash

Такая система является питательной средой для коррупции, потому что вероятность успеха зависит не от обоснованности ваших претензий, а от того, знаете ли вы нужных людей и насколько близко. Причём в буквальном смысле.

Так, в прошлом году известная модель Onlyfans рассказала, что она вступила в интимные отношения с несколькими сотрудниками Meta для того, чтобы её аккаунт в Instagram разблокировали. «Всё, что вам нужно — это чтобы вы действительно кому-то очень понравились, и, в конце концов, вы получите свой аккаунт обратно», рассказала модель. В свете публикации в Wall Street Journal эта история не звучит так уж неправдоподобно.

Учитывая, что число ежемесячных активных пользователей Instagram приближается к 2 миллиардам, а на сайт Facebook ежемесячно заходит почти 3 миллиарда человек, обслуживание всех этих людей не является лёгкой задачей. Однако тот факт, что Meta продолжает изыскивать миллиарды долларов для пока что не слишком успешного проекта по созданию метавселенной, говорит о том, что компания располагает необходимыми средствами. Просто пользователи и их безопасность, очевидно, не являются её главным приоритетом.

Запоздалые меры

Год назад Meta создала онлайн-чат со службой поддержки специально для тех пользователей, которые потеряли доступ к своим аккаунтам. Функция изначально стала доступна ограниченному числу англоязычных пользователей. Это новшество стало «первым случаем, когда Facebook предложил помощь в реальном времени людям, потерявшим доступ к своим аккаунтам», — с гордостью заявил тогда техгигант. В конце прошлого года Meta сообщила, что функция стала доступна более чем 1 миллиону человек. Meta также рассказала, что планирует внедрить поддержку онлайн-чата ещё в 30 странах (в дополнение к изначальным девяти), но не уточнила, сколько пользователей в итоге её получат.

В августе Bloomberg сообщил, что Meta также начала создавать «подразделение по обслуживанию клиентов», которое будет прицельно заниматься рассмотрением жалоб пользователей, чьи посты и аккаунты были удалены. Кто-то может возразить, что Meta сильно опоздала с принятием подобных решений.

Какие выводы можно сделать из нового скандала

Инцидент со взломом аккаунтов за деньги наносит ещё один удар по и без того шаткой репутации Meta, и в очередной раз заставляет нас задуматься о том, насколько широким доступом к данным пользователей обладают её сотрудники. Он также показывает, что пренебрежение к безопасности и конфиденциальности пользователей пронизывает всю деятельность компании. В какой-то мере это, пожалуй, даже неудивительно, поскольку основным интересом и источником дохода Meta является сбор данных пользователей для таргетирования рекламы, а не обеспечение их конфиденциальности или безопасности.

На практике это означает, что мы должны быть очень осторожны, доверяя свои данные Meta и другим технологическим компаниям, которые обрабатывают большие объемы пользовательских данных и имеют схожую бизнес-модель. Включить двухфакторную аутентификацию в профиле, поддерживать свою контактную информацию в актуальном состоянии, не нажимать на код подтверждения, который вы не запрашивали — вот некоторые из правил, которые помогут защитить данные от происков злоумышленников, но даже они не являются стопроцентной гарантией безопасности.

Когда речь заходит о кибербезопасности, не стоит думать, что технологические гиганты практически неуязвимы для любых внутренних инцидентов или внешних атак, потому что в них якобы работают лучшие специалисты и используются передовые методы. Не так давно мы писали о печально известной хакерской группе Lapsus$, которая собрала скальпы нескольких крупнейших компаний, включая NVIDIA и Samsung, будучи кучкой подростков с ноутбуками. Кроме того, практически везде найдутся сотрудники, которые будут злоупотреблять своим доступом к инструментам для «служебного пользования».

По правде говоря, ни Instagram, ни Facebook, вероятно, не являются лучшими местами для ведения приватных бесед и обмена интимными фотографиями, даже без учета дополнительного риска быть взломанным недобросовестным сотрудником Meta. Ни Facebook, ни Instagram пока не имеют сквозного шифрования по умолчанию, а Meta неоднократно показывала, что готова нарушить конфиденциальность пользователей по первому требованию правоохранительных органов. Вместо сервисов Meta можно попробовать мессенджер со сквозным шифрованием, который бы уделял больше внимания конфиденциальности и безопасности, например, Signal. Однако стоит помнить, что сквозное шифрование не является панацеей. Например, сообщения в WhatsApp защищены сквозным шифрованием, но мессенджер также известен тем, что собирает огромное количество незашифрованных метаданных, которыми он может поделиться с полицией и своей материнской компанией Meta.

В заключение: будьте осторожны с тем, кому вы доверяете свои данные, здраво оценивайте риски и используйте доступные меры защиты аккаунта.