Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

DOMOV

Kto je údajný takáčovec Kudlička. Prvá fotka mafiánov pri víne s politikom

Súd na kauciu prepustil z väzby Ľubomíra Kudličku, považovaného za šéfa gangu takáčovcov. Bol na prvej fotke spájajúcej mafiu a politika.

Neprehliadnite tiež

Vo vnútri Mesiaca je množstvo vody, pomôže pri kolonizácii

Voda sa na Mesiac dostala krátko po jeho vzniku.

Google pridáva do vyhľadávania a máp SOS upozornenia

Nový nástroj má upozorniť ľudí na hroziace nebezpečenstvo v ich okolí a poskytnúť užitočné informácie v krízovej situácii.

Robotický vysávač sa môže stať najväčším špehom v domácnostiach

Okrem prachu z podlahy pozbiera aj informácie o rozložení domu.

Sedem tipov, ako vám smartfón pomôže na dovolenke

Naplánujte si s ním cestu, vyhnite sa zápcham, nájdite najlacnejší hotel a prepočítajte cudziu menu.

Inzercia - Tlačové správy


  1. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť
  2. Návod, ako získať maximum pri nákupoch s kreditkou
  3. Mexická Oaxaca: Vonia čokoládou a jedinečnými pyramídami
  4. Dobrý internet v meste i na vidieku. Dostupný je takmer všade
  5. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku
  6. Volkswagen Golf: Odpoveď na takmer všetky otázky
  7. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou
  8. Investícia do dlhopisov s fixným výnosom 6,25 - 7,25 % p.a.
  9. I cez prázdniny testujte elektrobicykle
  10. 5 dôvodov, prečo sa prihlásiť na konferenciu ENERGOFÓRUM®
  1. Nenaleťte pochybným predajcom jazdeniek
  2. Cíťte sa v priestore príjemne
  3. Ktorý odšťavovač má najvyššiu výťažnosť?
  4. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť
  5. Ako si vybrať wc a umývadlo?
  6. Poslanec M. Borguľa bojuje proti netransparentnému tendru
  7. Grantová výzva na vykonávanie činností informačných centier
  8. Návod, ako získať maximum pri nákupoch s kreditkou
  9. Mexická Oaxaca: Vonia čokoládou a jedinečnými pyramídami
  10. Funguje predaj realít aj bez maklérov?
  1. Dobrý internet v meste i na vidieku. Dostupný je takmer všade 5 725
  2. Volkswagen Golf: Odpoveď na takmer všetky otázky 4 903
  3. Na tieto veci sa oplatí myslieť pred odchodom na dovolenku 3 499
  4. Mexická Oaxaca: Vonia čokoládou a jedinečnými pyramídami 3 498
  5. Vietnam: Krajina, ktorá rozmazná jedlom a uchváti históriou 3 079
  6. Návod, ako získať maximum pri nákupoch s kreditkou 2 573
  7. Ako pracujú horskí záchranári? Tieto veci by ste nemali podceniť 2 571
  8. I cez prázdniny testujte elektrobicykle 2 010
  9. Máte už vybranú dovolenku na júl? 1 105
  10. Chcete vedieť všetko o vašej krvi? Čaká vás 6000 typov vyšetrení 953