Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

EKONOMIKA

Ak sa bude chcieť pacient objednať, vyšetrenie nech si zaplatí sám

Minister zdravotníctva Tomáš Drucker chce zmeniť spôsob objednávania pacientov.

SVET

Mariňák: Ak ponorku nájdu, námorníkov aj tak nezachránia

Stratenú argentínsku ponorku by mohol nájsť sonar, hovorí Ross Hall.

ŠPORT

Prerušenie ligy? Neexistuje na to dôvod, tvrdí Lintner

Kluby si môžu vyskúšať, aké je to hrať bez kľúčových hráčov, hovorí šéf ligy.

DOMOV

Dobré ráno: Fico má strach? Zase sa pustil do prezidenta

Prečo Fico zaútočil na Kisku? A čo sa deje v Smere?

Neprehliadnite tiež

Aká je kvalita vzduchu vo vašom meste? Skontrolujete si ju online

Kvalitu ovzdušia môžete sledovať po hodinách.

Vyskúšali sme Vernee Mix 2, lacný smartfón s obrovským displejom

Extrémne tenké rámčeky, veľký displej a rýchle reakcie. Čínsky smartfón chce zahanbiť veľké značky.

OBJEKTÍV

Hľadali príšeru. Namiesto nej našli v jazere staroveký hrad

Tritisícročný hrad zrejme patril do kráľovstva Urartu v okolí jazera Van.

Z kávovej usadeniny vyrobia palivo

Oleje z usadenín môžu poslúžiť pre odľahčenie fosílnych palív.

Inzercia - Tlačové správy


  1. 3 pravidlá pre lepší dôchodok
  2. Slovenské deti dostávajú mesačne 22€
  3. Ako sa zbaviť chladnej podlahy
  4. Čerešne - miesto, kde môžete žiť podľa seba
  5. Všetky okresy svojimi pobočkami pokrývajú len tri banky
  6. Vyrábajú v malom, no presadili sa. Sessler a Farmárske lupienky
  7. Ochráňte pred zlodejmi celé vozidlo vďaka VAM Akustik
  8. V tomto roku si už konečne užijem Vianoce bez vrások
  9. Online analýza spotreby elektriny vám pomôže ušetriť
  10. Stavba domu na kľúč – úspora času aj financií
  1. Všetky okresy svojimi pobočkami pokrývajú len tri banky
  2. Ochráňte pred zlodejmi celé vozidlo vďaka VAM Akustik
  3. Čerešne - miesto, kde môžete žiť podľa seba
  4. Nová michalovská nemocnica otvorí brány: toto musíte vidieť!
  5. Vyrábajú v malom, no presadili sa. Sessler a Farmárske lupienky
  6. Mladí vodiči preferujú čoraz silnejšie autá
  7. Ako sa zbaviť chladnej podlahy
  8. V tomto roku si už konečne užijem Vianoce bez vrások
  9. Online analýza spotreby elektriny vám pomôže ušetriť
  10. Stavba domu na kľúč – úspora času aj financií
  1. 3 pravidlá pre lepší dôchodok 7 782
  2. Moskva alebo Petrohrad? 4 962
  3. Vyrábajú v malom, no presadili sa. Sessler a Farmárske lupienky 4 606
  4. Slovenské deti dostávajú mesačne 22€ 3 142
  5. Ako pracujú poisťováci? Dostali sme sa medzi nich 2 928
  6. Stavba domu na kľúč – úspora času aj financií 2 557
  7. VW Tiguan Allspace: prvé sedemmiestne SUV od Volkswagnu 2 300
  8. Nepríjemná bolesť. Tu sú 3 rady, ako sa jej zbavíte 2 176
  9. Online analýza spotreby elektriny vám pomôže ušetriť 1 517
  10. Ako sa zbaviť chladnej podlahy 1 204