Hoe ik via Apple Testflight ben gehackt op Facebook

Op de eerste iPhone SE4 alias 16E dummy-modellen na was er deze week weinig nieuws rond Apple. Ik zal je daarom bijpraten over mijn gehackte Facebook-account, want ik heb eindelijk ontdekt wat de oorzaak was: een exploit in Apple’s Testflight app.

Gehackt ☠️

“Ben je soms gehackt? Er staat een rare naam bij jouw foto op Messenger”, appt mijn broer me begin november. Niet dat ik weet, reageer ik nog achteloos. Ik ga naar Facebook op m’n iMac en verdomd. Ik heet plots “Hung Quoc Tran” en ook mijn geboortedatum blijkt aangepast. Shit. Ik kan gelukkig nog wel in mijn account, maar de veranderingen terugdraaien kan niet zomaar. Na een naamswijziging zit je daar zestig dagen aan vast, bij een wijziging van een geboortedatum een paar dagen.

Ik schiet meteen in actie: wachtwoorden resetten, zowel van Facebook als van Instagram en Meta Horizon, die ik allemaal gekoppeld heb in het overkoepelende Meta-account. Ik log alle sessies op alle apparaten uit in de Instellingen. Ik check het Activiteiten-logboek en ontdek een vreemd IP-adres. Op het moment van de kraak heb ik waarschuwingen per mail ontvangen van Meta, maar heb die niet op tijd gezien. Op het eerste oog lijkt de schade mee te vallen. Ik heb nog controle over mijn account. De naamsverandering voelt als pesterij. Hoe ik ben gehackt is me echter een raadsel. Ik heb op vrijwel al mijn accounts, zeker die op social media, tweestapsverificatie aan staan en check regelmatig welke apparaten aan accounts zijn gekoppeld.

17 duizend euro 💰

Ik check Facebook vervolgens vrijwel dagelijks om de boel in de gaten te houden. De hacker lijkt te zijn verdwenen. Wel zie ik ergens in de Instellingen opeens een rood bolletje. Da’s nooit een goed teken. Mijn advertentie-account blijkt te zijn geblokkeerd. Nader onderzoek wijst uit dat de hacker in de Meta Business Manager een advertentiecampagne heeft opgezet via mijn privé-advertentie-account op Facebook, met een dagelijks budget van maar liefst 17.777 euro. Sinds de hack zie ik tien rekeningen staan van elk tussen de 600 en 800 euro, waarvan de betaling is mislukt. Dat is de reden dat mijn advertentie-account is geblokkeerd. De campagne is nog steeds actief. Ik kan die niet uitzetten of verwijderen, omdat mijn ad-account is geblokkeerd. Die kan ik alleen de-blokkeren door een nieuwe betaalmethode op te geven, zodat de openstaande rekeningen betaald kunnen worden betaald. Dat doe ik natuurlijk niet maar zit daardoor wel vast. Mijn geluk is dat mijn ad-account, dat ik in het verleden wel eens heb gebruikt voor Bright, is gekoppeld aan een oude Paypal-rekening die niet meer bestaat. Was dat niet zo, dan was ik zo’n achtduizend euro lichter geweest.

Aangifte 👮‍♂️

Ik vertel over de hack in de Bright Podcast en wordt kort daarop benaderd door behulpzame Nederlandse ethische hacker genaamd Chester. Die weet me te vertellen dat het vreemde IP-adres een NordVPN-adres is. Mijn hacker zal daardoor niet eenvoudig te traceren zijn. Chester raadt me aan aangifte te doen, voor het geval dat Facebook moeilijk zou doen over die onbetaalde rekeningen voor die illegaal geplaatste advertentiecampagne. Op het politiebureau is de agent geduldig, al kost het haar moeite de kraak simpel samen te vatten in de aangifte. Mijn geboortedatum heb ik kunnen herstellen. Mijn naam is nog steeds gekraakt, er is pas een maand voorbij. Collega’s op de redactie plagen me door mijn nieuwe Facebook-naam op binnengekomen post te kladden.

Hulp inschakelen van Facebook of Meta lijkt een onmogelijke opgave. Als je al je weg weet te vinden in de vele pagina’s en helpmenu’s, dan is het nog maar zeer de vraag of je de juiste hulp of überhaupt hulp krijgt. Er zijn pagina’s waarop je melding kunt maken van een hack, maar geen dekt precies mijn situatie. Ten einde raad mail ik mijn relaas naar escalations@cases.meta.com, voorzien van allerlei screenshots, maar kreeg geen reactie.

Extra beveiliging 🔑

De feestdagen komen en gaan en dan zijn eindelijk de zestig dagen voorbij. Omdat ik enige bekendheid geniet en op Facebook een geverifieerd account heb, blijkt er nog een extra beveiliging te zijn om mijn naam aan te passen. Ik moet mij identificeren. In mijn identiteitsbewijzen staan echter mijn doopnamen, niet mijn roepnaam Erwin. Ik heb van alles geprobeerd maar de komende zestig dagen sta ik nog met mijn doopnamen op Facebook in plaats van mijn roepnaam. Het is alvast beter dan die vreemde Vietnamese naam.

Ik doe nog een poging om hulp in te schakelen, ga weer spitten in de vele pagina’s van Facebook en heb opeens bij Meta Business Support beet. In een chat met een Nederlandse helpdeskmedewerker leg ik alles uit over de hack en illegale advertentiecampagne. Ze maakt een case aan en is te spreken over mijn documentatie, de screenshots en aangifte. Een dag later is de blokkade opgeheven, kan ik de campagne stopzetten en heeft de helpdesk de openstaande rekeningen verwijderd. Pfew.

Om mijn roepnaam weer op Facebook te krijgen word ik doorverwezen naar Meta Verified Support. Ik had al overwogen een abonnement te nemen op Meta Verified, omdat je dan betere support krijgt. Door de openstaande rekeningen had ik daarvan afgezien. Zodra ik een betaalmethode zou toevoegen aan Meta Pay, dan had ik meteen die illegale rekeningen moeten betalen. Ondanks dat die rekeningen nu verdwenen zijn, raadt Meta Verified Support mij aan eerst de zestig weer af te wachten en dan weer contact op te nemen. Wordt vervolgd dus. Mijn prive-advertentie-account heb ik uit voorzorg laten afsluiten.

Testflight scam ✈️

Op de laatste dag van mijn kerstreces check ik alvast mijn Bright-mailbox om die maandag niet bedolven te worden. Mijn oog valt op een mailtje met een uitnodiging om via Testflight de Meta Ads Manager app te testen. Aangezien ik nog extra alert ben op alles wat met Facebook en Meta te maken heeft, check ik bij de tech- en marketingafdeling van onze uitgeverij of die van hen afkomstig is. En dan zie ik pas dat er dingen niet kloppen.

Testflight is een app om iOS apps mee te testen. Apple nam de startup in 2014 over en sindsdien is het de officiële app om iOS mee te testen. Ik heb een developer-account bij Apple en test via Testflight nieuwe versies van de iOS app van Bright bijvoorbeeld. Op Facebook hebben we een zakelijk advertentie-account, zoals zoveel bedrijven, dus een uitnodiging voor een beta-versie van Meta Ads Manager is op zich niet vreemd. Dat is het als ik er langer over had nagedacht natuurlijk wel, want onze uitgeverij beheert de Meta Ads Manager app niet maar Meta zelf. De mail met de uitnodiging is daarentegen wel degelijk verstuurd door Apple (no_reply@email.apple.com) al kan dat gespooft zijn. In de mailheaders staat echter een verdacht reply-to adres. De mail is ook niet naar mij gestuurd maar naar info@bright.nl. De naam van de app lijkt erop maar is net anders. Hetzelfde geldt voor het app-icoon.

Het kwartje valt eindelijk.

Ik heb kort voor de hack zo’n mailtje in de gauwigheid aangezien voor een echte uitnodiging, in de veronderstelling dat hij via de uitgeverij kwam. Ik heb de app geinstalleerd en ben daarin op Facebook ingelogd. Die gegevens worden afgevangen, doorgestuurd en hoppa, de hacker is binnen. Die kon een paar dagen zijn gang gaan totdat ik alle sessies had afgesloten. Meta heeft bevestigd dat de hacker verdwenen is uit mijn account.

De scam is al een paar jaar oud weet ik inmiddels. Hij werkt technisch zo goed omdat voor beta-versies van apps die via Testflight worden verspreid minder strenge beveiligingsvoorschriften gelden dan in de App Store. Nu zal niet iedereen gebruik maken van Apple’s Testflight, maar het laat maar zien hoe geraffineerd scams tegenwoordig zijn. Blijft alert. Een ongeluk zit in een klein hoekje. Ze zijn binnen voordat je erg in hebt.

Test het zelf: welk van onderstaande app-iconen is de echte van Meta Ads Manager?

One more thing ⌘

In de podcast Table Manners deelt Apple-ceo Tim Cook meer persoonlijke details dan we van hem gewend zijn. Zo staat hij elke dag om vijf uur ’s ochtends op en begint zijn werkdag met mails beantwoorden. “Dat deel van de dag heb ik het meest in de hand. Het laat me in alle stilte focussen op een paar kritische kwesties.” Cook werkt vier dagen in de week vanuit Apple Park en op vrijdag thuis. “Dan is er toch bijna niemand op kantoor.” Koken doet Cook niet, hij eet doorgaans bij Caffé Macs, Apples riante bedrijfskantine. Hij eet veel vis, houdt van Chardonnay-wijn en donkere chocola, en zijn favoriete ontbijt is cashew-cereal van Whole Foods met ongezoete amandelmelk. In zijn vrije tijd mag Cook graag wandelen en vakanties spendeert hij het liefst in een nationaal park.

Fijn weekend!