Ditt gamla telefonnummer är en säkerhetsrisk
Telefonnummer som inte längre är i bruk återanvänds. Det innebär att nästa person som får ditt gamla telefonnummer kan använda det för att ta sig in på dina onlinekonton, exempelvis Facebook.
Bild: Vic_B
För ett tag sedan fick CyberInfo ett intressant tips. Det var en man vid namn Olof1 som ville dela med sig av risken att inte radera sitt gamla telefonnummer från exempelvis Facebook.
Många onlinetjänster, exempelvis Facebook, använder ditt telefonnummer för att skicka en återställningskod ifall du glömmer bort ditt lösenord eller användarnamn. Men om du byter telefonnummer, och inte raderar det från tjänsterna, kan nästa person använda det för att ta sig in på dina konton. Det var precis det som Olof själv hade gjort – tagit sig in på en annan persons Facebook-konto med hjälp av ett återanvänt telefonnummer.
För några år sedan skaffade Olof ett nytt mobiltelefonnummer. Ganska snart började han få mängder av telefonsamtal som var till en elektriker vid namn Anders2. Olof hade fått Anders gamla telefonnummer. Efter ett tag minskade antalet samtal, men istället började Olof få flertalet SMS (via Facebook Messenger-appen) som även dessa var till Anders.
Olof kom fram till att Anders måste ha registrerat sitt mobiltelefonnummer hos Facebook, men struntat i att radera det när han sade upp sitt mobiltelefonabonnemang. Olof funderade lite på vad han skulle göra. Han skulle ju kunna försöka kontakta Anders och be honom radera numret från Facebook. Men risken fanns att Anders aldrig skulle svara eller ens radera det. Olof bestämde sig istället för att ta saken i egna händer.
Eftersom telefonnumret fanns registrerat hos Facebook började Olof med att ta reda på Anders användarnamn på Facebook. Det gjorde han genom att välja funktionen glömt användarnamn. Användarnamnet skickades då till Olofs mobiltelefon. Därefter gick Olof vidare till glömt lösenord-funktionen. Han skrev då in Anders användarnamn. Återställningslänken skickades till Olofs mobiltelefon. Här valde Olof ett långt, slumpmässigt lösenord. Han loggade sen in på Anders Facebook-konto och kunde radera hans telefonnummer. Olof loggade sedan ut och gjorde sig av med lösenordet.
I det här fallet hade Olof goda intentioner. Men om han istället hade velat kapa Anders Facebook-konto för att lura hans vänner på pengar, eller använda det för att logga in på andra tjänster, hade historien blivit en annan. Det kunde också ha rört sig om en helt annan tjänst.
Nu för tiden behöver man inte ens ta reda på användarnamnet eller mejladressen till Facebook-kontot. Man kan numera logga in med mobiltelefonnumret som användarnamn. Det enda Olof hade behövt göra idag hade varit att begära en återställningskod via SMS, ändra lösenordet och sedan logga in.
Däremot hade tvåfaktorsautentisering kunnat försvåra Olofs intrång – under förutsättning att Anders inte hade valt SMS-koder som säkerhetsmetod. Detta visar också att man bör vara försiktig med att använda SMS-koder för tvåfaktorsautentisering.
Ta för vana att radera ditt gamla, oanvända telefonnummer hos de tjänster som använder det. Du vet aldrig när eller vem som får ditt gamla nummer i framtiden, eller vad den personen kan tänkas göra med det.
Kommentarer
Kommentarsfältet är modererat. Det innebär att alla kommentarer granskas av ansvarig utgivare före publicering.
Du väljer själv om du vill ange ditt riktiga namn, en pseudonym eller vara helt anonym. Ingen registrering behövs.
Relaterade artiklar
-
Riskerna med BankID som ingen pratar om
BankID är ett säkert och smidigt sätt att identifiera sig online. Men i takt med dess ökade popularitet och användning har det blivit en svag länk – en single point of failure – på mer än ett sätt.
-
PGP-krypterat formulär
Jag blev inspirerad av Tutanotas Secure Connect – ett säkert webbformulär som skickar uppgifterna krypterat direkt till inkorgen. Skulle det inte gå att bygga något liknande med PGP? Det gick, och det var dessutom förvånansvärt enkelt då det redan finns ett GnuPG-bibliotek för PHP.
-
Var försiktig med att curl:a skript som root
Att installera program i Linux genom att omdirigera utdata från Curl till skalet är snabbt och smidigt. Men det är ack så farligt om du inte känner till programmet eller dess ursprung.
-
GDPR som ett stöd, inte ett hinder
Företag, föreningar och kommuner borde se GDPR som ett stöd och en vägledning, inte ett hinder. Trots det är det många som väntar ut Schrems II-domens efterspel för att inte behöva göra något. Andra försöker komma runt GDPR på olika sätt. Men man får glömma inte bort vem GDPR ska skydda – organisationens viktigaste tillgångar; kunderna, medlemmarna och invånarna.
-
Vidarebefordran av SSH-agenten
SSH agent forwarding, eller vidarebefordran av SSH-agenten, innebär att man kan vidarebefordra SSH-agenten till ett fjärrsystem. På så sätt behöver man inte kopiera sin privata SSH-nyckel till fjärrsystemet, eller skapa flera nycklar för olika system. Men det finns risker med det.
Senaste nyheterna och inläggen
-
Riskerna med BankID som ingen pratar om
BankID är ett säkert och smidigt sätt att identifiera sig online. Men i takt med dess ökade popularitet och användning har det blivit en svag länk – en single point of failure – på mer än ett sätt.
-
Polisernas fängelsedomar står fast
Efter tre år är målet mot de två poliser som olovligen tog sig in i en berusad mans bostad i Landskrona och misshandlade honom klart. Högsta domstolen beslutade den sjätte mars att avvisa överklagan. Fängelsedomarna för poliserna står därmed fast.
-
Tredje utgåvan av Grunderna i programmering
Den tredje utgåvan av Grunderna i programmering är nu klar och planeras att ges ut i mitten av mars.
-
Författarintervju med Josefin Hansson
År 2022 debuterade hon med boken “Ur askan en drake”. Boken tar upp duktiga flickan-syndromet och psykisk ohälsa. Hon har också varit ambassadör för Hjärnkoll och föreläst på bland annat Medborgarskolan. Idag driver hon eget företag inom samtalscoaching.
-
En chans att vinna Demonerna på internet
Företaget GleSYS lottar ut tre exemplar av vår bok Demonerna på internet i en tävling på LinkedIn. Passa på att tävla du också för en chans att vinna!
Utvalda artiklar
-
Datorparty i Landskrona
I helgen höll Syntax Society sitt årliga sommarparty. Platsen var en källarlokal i Landskrona där ett femtontal personer medverkade.
-
Det första Pågadata har ägt rum
I helgen ägde det första Pågadata rum – uppföljaren till Gubbdata. Platsen var Folkets Hus i Kvidinge. Organisatör av partyt var Johan “z-nexx” Osvaldsson med hjälp från Jesper “Skuggan” Klingvall. Partyt hade över 100 anmälda deltagare.
-
Även hovrätten fäller poliserna för att ha satt dit oskyldig
Hovrätten fastställer straffet för de två poliser som förra året dömdes till vardera ett års fängelse av Lunds tingsrätt för att ha misshandlat och satt dit en oskyldig man. De båda poliserna ska även betala skadestånd till mannen.
-
Retroloppis i Påarp
Idag var det retroloppis hos Andreas Nilsson i Påarp. På baksidan av huset fanns hundratals spel uppradade på långa bord. Trots friska vindar och sval temperatur var loppisen välbesökt.
-
Stort deltagande på årets Gubbdata
I helgen var det Gubbdata i Lund – ett av Sveriges största demoparty. På plats fanns cirka ett hundra deltagare, alla med en passion för retrodatorer.
CyberInfo Sverige är ett it- och medieföretag i nordvästra Skåne som tillhandahåller böcker, utbildningar, nyheter och konsulttjänster inom Linux, säkerhet och programmering.
CyberInfo Sverige är godkänd för F-skatt, är momsregistrerat och innehar
utgivningsbevis för webbplatsen www.cyberinfo.se.