Podmienili mi adres e-mail na Instagramie! Co robić?

Dziś pierwszą kawę zastąpił jakiś skurwesyn, który próbował podpierdzielić moje konto na Instagramie. Aż takie zajebiste jest, żeby już przy niespełna 50 obserwujących je kraść? Nie wiem, ale odbiorę to jak komplement.

Wyspałem się, więc nie spieszyłem się z pierwszą kawą. W ogóle ze wstaniem z wyra mi się nie spieszyło. Gdy już skończyłem to pierwsze i najważniejsze przeciąganie się w pościeli, sięgnąłem po telefon, bo coś tam przyszło jeszcze wczoraj, ale już mi się nie chciało sprawdzać. Przypomniało mi się, że jeszcze coś na Instagramie miałem zmienić. Z racji tego, że obsługuję kilka instagramowych kont, muszę się między nimi przełączać. Kliknąłem więc gdzie trzeba, żeby z listy wybrać konto , na które chcę się przesiąść i…

Jedno moje konto zniknęło!

Nie ma go. Było i się zbyło! “Może gdzieś mnie wylogowało przypadkiem?” No to znowu parę kliknięć, aby z powrotem zalogować się na nie, ale dalej lipa. Nie mogę się zalogować. Nie mogę, gdyż ponieważ nie wiadomo co. Że błąd nieznany. Nosz kurła! Jak to nieznany? Gdy dane do logowania nieznane, to wiedzą, więc to chyba jednak nie kwestia danych, skoro nie wiedzą nic.

Ktoś podmienił adres e-mail do konta

Klikając w odpowiedni link poprosiłem o przypomnienie danych/nowe hasło/zrestowanie hasła (ciągle zapominam, jak to w Insta działa). Wysłali! Tylko gdzie? Wysłali nie do mnie, tylko na jakiś ruski adres, w większości zagwiazdkowany. Pokazali tylko pierwszą literę, małpę i końcówkę .ru. Ależ mi ciśnienie skoczyło! Pierwszy raz w taki sposób i na podobnym tle od 12 lat, czyli ostatniego włamu na jedną z moich strona w Joomla! Pieprzone hakiery.

W tym momencie dotarło do mnie, że to już nie są przelewki. Że to jakaś grubsza akcja ruskich służb hackerskich (albo tych pryszczatych aspirantów do rzeczonego grona), ale tak czy siak zaczynam mieć przejebane. I nie mam jednego z kont, za to może mieć je ktoś inny, bo właśnie na jego adres wysłałem hasło. Fuck!

Zalogowałem się na pocztę, aby znaleźć maila z hasłem ustawionym przy zakładaniu tego konta i sprawdzić, które to było (tzn. jak ważne dla mnie). Na poczcie ani pół maila z Instagrama nie widać! Nic!

Facebook kołem ratunkowym

Skoro nie mogłem drogą mailową, to postanowiłem skorzystać z drogi fejsbukowej. Zamiast logować się do Instagrama tradycyjnie, skorzystałem z opcji logowania przez konto na fejsie. Utracone konto z Insta szczęśliwie zdążyłem powiązać z FB, więc poszło gładko. Uruchomiła się fejsbukowa weryfikacja dwuetapowa: po wprowadzeniu kodu autoryzacyjnego wyskoczyło info, że konto na Insta zostało zablokowane z racji podejrzanej próby dostępu i coś tam jeszcze, ale najważniejsze było dla mnie to, że znowu mogłem się na nie zalogować.

Po zalogowaniu się od razu wszedłem w dane konta i rzeczywiście adres e-mail był podmieniony. Co ciekawe, w publicznym widoku tego konta nadal widniał stary adres e-mail i chcący wysłać do mnie maila właśnie na ten adres mogli to zrobić. Znaczyło to, że nowy, ten podmieniony mail w ruskiej domenie nie został aktywowany. Wpisałem więc na nowo swój stary adres i dostałem komunikat, że muszę go potwierdzić w mailu wysłanym na moją skrzynkę. Wszedłem więc na pocztę, a tam dalej nic. WTF? Czyżby w spamie?

Spam

A jak! Ten i wszystkie poprzednie e-maile z Instagrama Gmail potraktował jako spam. Goopole. A w tych mailach miałem ja na tacy podaną całą historię tej nieszczęsnej zmiany e-maila. I co najciekawsze, dzięki tym mailom mogłem jednym kliknięciem mogłem temat innego adresu e-mail zamknąć. Witki mi opadły, ale trudno.

Potwierdzenie zmiany adresu e-mail

Przy próbie zmiany adresu e-mail na nowy adres wysyłany jest link do potwierdzenia zmiany, a na stary adres link do jej zablokowania. Nowy adres trzeba potwierdzić, a na starym można kliknąć w link, który pozwala cofnąć zmianę adresu e-mail i powrócić do dotychczasowego. Wystarczyło więc, żeby ten e-mail wylądował w odebranych, a nie w spamie i kosztowałoby mnie to mniej czasu i nerwów. Wtedy dostałbym powiadomienie i jednym kliknięciem zamknąłbym temat. I tyle? Jeszcze nie wiem.

Gdzie jest luka?

Zastanawiam się, gdzie jest luka zabezpieczeń, która pozwala na podmianę adresu e-mail na obcym koncie i dlaczego osoba stojąca za atakiem na moje konto od razu nie potwierdziła wprowadzonego przez siebie adresu. Nie znalazłem jeszcze informacji opisujących dokładnie takie ataki, ale nie spocznę, dopóki nie upewnię się co, jak i czy na pewno temat jest już zamknięty.

A może Wy coś więcej wiecie na ten temat? Jeśli tak, to podzielcie się swoją wiedzą, np. w komentarzach.

PS. Google mógłby pójść z duchem czasu i nauczyć się, że Instagram, choć z grubsza głupkowaty, to jednak ważny dla internetu i trzeba go traktować poważniej, niż źródło mailowego spamu.

 

Aktualizacja:

Poczytałem trochę i wygląda na to, że nie ma jedynego skutecznego zabezpieczenia. Natomiast wiele można sobie ułatwić w razie padnięcia ofiarą hakiera i podmiany swoich danych. Najszybciej dostać się można na konto, na które dane dostępowe zostały zmienione i są już dla prawowitego właściciela nieznane, poprzez Facebooka. Aby było to możliwe, konto Instagram musi być powiązane z kontem na Facebooku. Jeśli konta są powiązane, to w bardzo łatwy sposób możemy dostać się na konto w Instagramie, co pozwala na przywrócenie dawnych danych (oczywiście hasło należy zmienić).

Subskrybcja
Powiadom o
guest

0 komentarzy
Wbudowane komentarze zwrotne
Pokaż wszystkie komentarze