Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

PLUS

Kuriózny zločin spred 50 rokov ožíva vďaka novinárovi Romanovi Kaliskému

Vlastnú susedu chcela utopiť v odpadovej šachte, napokon dostala 6 rokov.

TECH

Objavili prepojenie medzi autizmom u vnúčat a fajčením v tehotenstve

Fajčenie môže ohroziť aj vaše vnúčatá.

ŠPORT

Slováci porazili Nórov, opäť im dali tri góly

Slováci si udržali čisté konto.

Neprehliadnite tiež

Objavili prepojenie medzi autizmom u vnúčat a fajčením v tehotenstve

Deti mali vyššiu šancu prejavovať znaky autizmu, ak fajčila ich babka z matkinej strany.

Fotosyntézu spustili v umelej hmote, čistí vzduch a vyrába čistú energiu

Zariadenie zatiaľ vyskúšali len pri modrom svetelnom spektre.

Vypočítali, ako sa dá cestovať v čase, ale stroj postaviť nevedia

Nový výskum navrhuje matematický model, ktorý umožňuje cestovanie v čase.

Na Marse by ľudia mohli bývať v domčekoch z červených tehál

Inžinieri našli spôsob, ako z červenej pôdy Marsu vyrábať odolné tehly.

Inzercia - Tlačové správy


  1. Last minute tipy na Kapverdské ostrovy
  2. Voda, kotol, vymknutie: Čo stoja najčastejšie domáce katastrofy?
  3. Žijú, lebo sa nevzdali. Príbehy ľudí bojujúcich za svoje zdravie
  4. Nový Volkswagen Arteon sa predstaví na bratislavskom autosalóne
  5. Last minute dovolenka sa dá kupiť výhodne už teraz
  6. Legendárna Štefánka opäť ožíva pod sieťou Pulitzer family
  7. Päť tipov, kam na predĺžený víkend v máji
  8. Inteligencia vo všetkom
  9. Volvo V90 Cross Country je pripravené na každé dobrodružstvo
  10. Continental spúšťa dlhodobý test pneumatík s vodičmi z Facebooku
  1. Ako efektívne využiť podlahové kúrenie?
  2. Samsung Galaxy S8: smartfón s výnimočným displejom
  3. Túžite byť matkou, ale nedarí sa? Poďme hľadať dôvody!
  4. Last minute tipy na Kapverdské ostrovy
  5. Ako sa menila obľúbená bratislavská štvrť
  6. Nové investičné projekty v Schladmingu s výhľadom na zjazdovku
  7. Podľa M. Borguľu je práca mestskej polície slabá a nedôsledná
  8. Znížená sadzba pri pôžičke v mBank už len štyri dni
  9. Odborníci poradia, komu sa oplatí využívať obnoviteľné zdroje
  10. Katarína (28): Z bývania na Nobelovej mám dobrý pocit
  1. Žijú, lebo sa nevzdali. Príbehy ľudí bojujúcich za svoje zdravie 8 145
  2. Last minute tipy na Kapverdské ostrovy 7 588
  3. Šokujúce: ako sa každý Slovák dokáže ľahko naučiť po anglicky 7 330
  4. Nový Volkswagen Arteon sa predstaví na bratislavskom autosalóne 7 111
  5. Päť tipov, kam na predĺžený víkend v máji 6 093
  6. Voda, kotol, vymknutie: Čo stoja najčastejšie domáce katastrofy? 5 225
  7. Legendárna Štefánka opäť ožíva pod sieťou Pulitzer family 5 078
  8. Last minute dovolenka sa dá kupiť výhodne už teraz 3 875
  9. Ako sa menila obľúbená bratislavská štvrť 3 071
  10. 5 krokov k vlastnému bývaniu 2 978

Už ste čítali?

Domov NajnovšieNajčítanejšieDesktop