SME
Streda, 16. október, 2019 | Meniny má Vladimíra

Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Článok pokračuje pod video reklamou

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Najčítanejšie na SME Tech

Hlavné správy zo Sme.sk

CYNICKÁ OBLUDA

Marketingový génius Haščák

Ktohovie, koľkým ľuďom by sa chcelo počúvať 39 hodín tárania nejakého zbohatlíckeho sedláka, keby on sám nezainvestoval do reklamy.

Komentár šéfredaktorky Beaty Balogovej

Slovensko už počúva Gorilu

Jaroslav Haščák sa pokúšal riadiť štát bez toho, aby ho čo i len jeden volič poveril touto úlohou.

Beata Balogová, šefredaktorka denníka SME
V údajnom spise Gorila sa píše, že Fico požiadal o kolu.

Neprehliadnite tiež

V Luxore objavili najmenej dvadsať sarkofágov

Má ísť o jeden z najväčších a najdôležitejších objavov za posledné roky.

V Luxore objavili nové sarkofágy.
Postgraduálna študentka Karly Bastová pri modeli, na ktorom ukázali uskutočniteľnosť návrhu mosta od Leonarda da Vinciho.
Slúchadla Pixel Buds.
OBJEKTÍV

Nakrútili vráskavce, ako lovia korisť pomocou bublinových sietí

Veľryby sa tento lov musia naučiť.

Vráskavec dlhoplutvý pri love v bublinovej sieti.

Inzercia - Tlačové správy

  1. Aj s SUV môžete jazdiť ekologicky a ekonomicky
  2. Čo na aute vymyslela žena a čo výrobca telefónov?
  3. Kedy je správny čas nasťahovať sa do novostavby?
  4. 5 rád Ľudmily Kolesárovej, ako napísať projekt a získať grant
  5. Podnikateľský úver, s ktorým ušetríte
  6. Vysokoškoláci zarobia už o 587 eur viac ako stredoškoláci
  7. Týmto trikom sa dajú v aute umiestniť tri autosedačky
  8. Ojazdené pneumatiky odovzdajte, šetríte tak životné prostredie
  9. Lidl je odteraz všade! Vitajte v Lidl e-shope
  10. Limitovaná ponuka: balík SME.sk + DIGI GO so zľavou až 52 %
  1. Slováci sú chlebovým národom
  2. Ojazdené pneumatiky odovzdajte, šetríte tak životné prostredie
  3. Kedy je správny čas nasťahovať sa do novostavby?
  4. P3 začína na východe Slovenska s výstavbou parku
  5. Zľavnené študentské lístky na dopravu s ISIC už aj cez mobil
  6. Lidl je odteraz všade! Vitajte v Lidl e-shope
  7. Kto vyhrá súboj medzi prírodnými a syntetickými diamantmi?
  8. Otvorenie nového sídla DELTA sprevádzala virtuálna realita
  9. Podnikateľský úver, s ktorým ušetríte
  10. Limitovaná ponuka: balík SME.sk + DIGI GO so zľavou až 52 %
  1. Zanzibar: Čo treba vidieť v africkom raji 13 608
  2. Čo na aute vymyslela žena a čo výrobca telefónov? 12 154
  3. Čo všetko dnes majú deti v mobiloch? Boli by ste prekvapení 12 113
  4. Lidl je odteraz všade! Vitajte v Lidl e-shope 10 673
  5. 5 rád Ľudmily Kolesárovej, ako napísať projekt a získať grant 9 732
  6. Vysokoškoláci zarobia už o 587 eur viac ako stredoškoláci 9 651
  7. Týmto trikom sa dajú v aute umiestniť tri autosedačky 9 570
  8. Výskumný park v Rakúsku zistil, ako sa býva najzdravšie 9 284
  9. Luxusný hybrid za 22 900 eur. Nadpriemerný už v základnej výbave 8 934
  10. Vyrába koláče pre celiatikov. Najobľúbenejšie zákusky prekvapia 8 350