Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

PLUS

Ako sa Slovák z Terchovej stal veľkým reformátorom u Márie Terézie

Adam František Kollár, vedec a knihovník bol jedným z popredných osvietenských reformátorov.

PLUS

V kráľovstve polievok sa držková nevarí

Do niekoľkých hrncov naložili Bratislavčania svojho tvorivého ducha.

KOMENTÁRE

Potrebujeme posilniť kultúru záväznosti

Musíme prestať so spájaním LGBTI s ohrozením tzv. tradičnej rodiny.

Neprehliadnite tiež

DETSKÁ RUBRIKA

Včeláriky robia všetko pre rodinu. Mladé vtáčatá chodia kŕmiť aj tetky a ujovia

Živia sa hmyzom, často práve včelami. To však nie je veľmi pochuti včelárom, ktorí tieto vtáky bezhlavo kynožia.

Vypustili prvý satelit, ktorý vyrobili pomocou 3D tlačiarne

Satelity by mali byť vo vesmíre približne päť až šesť mesiacov.

Toto sú najlepšie čínske smartfóny (leto 2017)

Xiaomi, Vernee, Oukitel alebo Ulefone? Poradíme vám, ako sa nestratiť vo svete čínskych smartfónov.

Na dne morí sa hromadia plasty, môže za to aj zvláštne zviera

Vršovky nie sú vinníci, sú obeťami plastov.

Inzercia - Tlačové správy


  1. 5 tipov ako na zdravé nôžky v škole
  2. Ako sa developer prispôsobil nárokom kupujúceho
  3. 6 účinkov prírodného slovenského výrobku
  4. TAURIS výrobky na gril potešia gurmánov aj maškrtníkov
  5. Let s prestreleným srdcom: Samovraždy slovenských hercov
  6. Problémy s počatím? Čo vás čaká na ceste za dvomi čiarkami
  7. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť
  8. Lety do exotiky už aj z Bratislavy
  9. Nonstop banka vo vrecku - aplikácia Mobil Banking
  10. Ako sme jazdili v socializme
  1. Očarujúca Srí Lanka: malý ostrov plný prekvapení
  2. 5 tipov ako na zdravé nôžky v škole
  3. Ako sa developer prispôsobil nárokom kupujúceho
  4. Už aj seniori presadajú do SUV
  5. 6 účinkov prírodného slovenského výrobku
  6. Americká ambasáda zaberá pozemky už rok bez nájomnej zmluvy
  7. Bratislava gets a new public space and park
  8. TAURIS výrobky na gril potešia gurmánov aj maškrtníkov
  9. Let s prestreleným srdcom: Samovraždy slovenských hercov
  10. Daikin predĺžil záruku na klimatizácie so službou Stand By Me
  1. Let s prestreleným srdcom: Samovraždy slovenských hercov 6 459
  2. Očarujúca Srí Lanka: malý ostrov plný prekvapení 2 886
  3. Ako sme jazdili v socializme 2 716
  4. Ako sa developer prispôsobil nárokom kupujúceho 2 685
  5. 6 účinkov prírodného slovenského výrobku 1 795
  6. 5 tipov ako na zdravé nôžky v škole 1 586
  7. Lety do exotiky už aj z Bratislavy 1 279
  8. Problémy s počatím? Čo vás čaká na ceste za dvomi čiarkami 1 267
  9. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť 1 186
  10. TAURIS výrobky na gril potešia gurmánov aj maškrtníkov 788