Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Článok pokračuje pod video reklamou

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Na spracúvanie osobných údajov sa vzťahujú Zásady ochrany osobných údajov a Pravidlá používania cookies. Pred zadaním e-mailovej adresy sa, prosím, dôkladne oboznámte s týmito dokumentmi.

Najčítanejšie na SME Tech

Hlavné správy zo Sme.sk

DOMOV

Peniaze na reformu školstva v rozpočte nevidno

Školstvo je v rozpočte málo ambiciózne.

AUTORSKÁ STRANA MATÚŠA KRČMÁRIKA

Český diktátor je o krok bližšie

Čechom akoby to bolo jedno.

DOMOV

Polícia ide po stope nebezpečných odpadov zo skládky pri Bratislave

Zadržaný Grebeči s Vassalom spolupracoval.

Neprehliadnite tiež

Nórski archeológovia objavili stopy vzácnej vikingskej lode

Nález by mohol osvetliť expedície moreplavcov v stredoveku.

PODCAST ZOOM

Zoom: Ďalší kúsok ľudstva opustil Slnko

Medzihviezdnu hranicu čoskoro prekročí ďalší ľudský stroj.

OBJEKTÍV

Robota naučili základy parkúru. Skáče počas behu

Atlas sa predviedol vo videu.

Inzercia - Tlačové správy

  1. Koľko minút pracujeme na jednu kávu či novú kuchyňu?
  2. Pokazila sa Vám práčka či chladnička? Nevolajte opravára!
  3. Koho výrobky naozaj kupujete v McDonald's?
  4. Stíhame napredovať s technológiami? Môže už byť neskoro
  5. Prečo sú pneumatiky dôležitejšie ako bezpečnostné pásy?
  6. Bezpečné bývanie pre rodiny s deťmi? Na toto nezabudnite
  7. Zvodný jesenný look s AVONom a Darou!
  8. Košická spoločnosť Ness formálne otvorila office v Poprade
  9. Hyundai i20 – Ideálny parťák
  10. Odborári pokračujú v zbieraní podpisov za zastropovanie dôchodku
  1. Stíhame napredovať s technológiami? Môže už byť neskoro
  2. Pokazila sa Vám práčka či chladnička? Nevolajte opravára!
  3. Prečo sú pneumatiky dôležitejšie ako bezpečnostné pásy?
  4. Bezpečné bývanie pre rodiny s deťmi? Na toto nezabudnite
  5. Zvodný jesenný look s AVONom a Darou!
  6. Koho výrobky naozaj kupujete v McDonald's?
  7. Výhody virtuálneho sídla spoločnosti
  8. Medzinárodný týždeň na EU v Bratislave
  9. Košická spoločnosť Ness formálne otvorila office v Poprade
  10. Ako znížiť spotrebu energie v obciach a mestách
  1. Odborníčka na výživu: Večera maximálne 4 hodiny pred spánkom 21 401
  2. Sládok Pilsner Urquell: Neviem prečo zdokonalovať Prazdroj 13 395
  3. Kvíz o zatepľovaní zvládne iba odborník. Trúfate si? 11 831
  4. Poznáte zaujímavosti Malty? Tieto lákajú turistov najviac 11 377
  5. Vodič dostal jasný odkaz: Na cyklotrase sa neparkuje 6 824
  6. Nepodceňujte príznaky psoriázy 4 781
  7. Odborári pokračujú v zbieraní podpisov za zastropovanie dôchodku 2 400
  8. Prečo úspešní odchádzajú od nedokončených úloh? 2 258
  9. Dlhopisy s fixným výnosom 6,6 % p.a. 2 006
  10. Koľko minút pracujeme na jednu kávu či novú kuchyňu? 1 986