SME
Utorok, 7. december, 2021 | Meniny má AmbrózKrížovkyKrížovky

Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Skryť Vypnúť reklamu

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Skryť Vypnúť reklamu

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Skryť Vypnúť reklamu

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Skryť Vypnúť reklamu

Najčítanejšie na SME Tech

Skryť Vypnúť reklamu
Skryť Vypnúť reklamu
Skryť Vypnúť reklamu
Skryť Vypnúť reklamu

Hlavné správy zo Sme.sk

Kníhkupectvo Panta Rhei v Bratislave.

Robí nám vrásky, že stále nepoznáme kompenzácie, vraví Michal Rajter.


12 h
Pre zaočkovaných a tých, ktorí ochorenie Covid-19 prekonali, sa otvoria všetky obchody už v piatok 10. decembra.

Od pondelka ostane doma druhý stupeň a stredné školy.


4 h
Ukrajinskí vojaci na fronte v Doneckej oblasti.

Biden volal v utorok s Putinom.


3 h
Zuzana Kepplová, komentátorka denníka SME.

Minister financií v parlamente odohral partičku binga s dôchodcami.


4 h

Neprehliadnite tiež

Laboratórne pracovníčky simuluje pracovný postup v závode Biontechu na výrobu vakcín proti ochoreniu Covid-19 počas novinárskeho dňa 21. marca 2021 v nemeckom Marburgu.

V laboratóriu nakazia krv.


a 1 ďalší 2 h
davka

Rozhovor so šachovým veľmajstrom Jánom Markošom.


6 h
Obyvatelia stoja na ulici v juhoafrickom meste Lawley 3. decembra 2021.

V októbri si vedci všimli zvláštnosť.


6. dec

Baví nás aj po stovkách odohraných hodín.


6. dec

Inzercia - Tlačové správy

  1. Diplom, na ktorý budeš právom hrdý. Študuj u nás
  2. O prideľovanie štátnych grantov sa môže starať softvér
  3. Vytvor si svoju budúcnosť podľa vlastných predstáv!
  4. 8 skutočných celebrít. Tieto mozgy ovplyvňujú, ako budeme žiť
  5. ARÓNIA - najsilnejšia prírodná prevencia proti koronavírusu
  6. Získaj náskok pred štartom
  7. Pomáhajú firmám zarábať viac. Polepšili si aj živnostníci
  8. Krízové balíčky pre ohrozené domácnosti
  9. Nadácia Orange s neziskovakmi pomôže na Vianoce ľuďom v núdzi
  10. V Mecome sa nosili rúška už dávno pred Covidom
  1. Kvalitná divina na pár klikov. LESY SR spúšťajú e-shop
  2. Ako uľahčiť opatrovanie seniorov doma
  3. METROPOLIS bude postavený podľa japonského know-how
  4. Rekonštrukcia prsníka po chirurgickej liečbe
  5. Zázračné účinky Arónie na zdravie
  6. PPA CONTROLL: Zamestnanecká privatizácia štartom úspešnej éry
  7. Nadácia Orange s neziskovakmi pomôže na Vianoce ľuďom v núdzi
  8. Budúcnosť je v komplexnej ponuke financovania a v digitalizácii.
  9. PUR pena či minerálna vlna: ktorou zatepliť šikmú strechu?
  10. Ako sa obliekať štýlovo a zároveň udržateľne?
  1. Petra Vlhová: Prvýkrát v živote som urobila veľké rozhodnutie 19 285
  2. So Sovietskym zväzom na večné časy? Pozrite sa ako padá kolos 12 643
  3. Bezpečná dovolenka v exotike: Maldivy sú prešpikované zážitkami 5 329
  4. ARÓNIA - najsilnejšia prírodná prevencia proti koronavírusu 4 801
  5. 8 skutočných celebrít. Tieto mozgy ovplyvňujú, ako budeme žiť 4 575
  6. Kto sú páni slovenskej zimy? Niektorí z nich sa ukrývajú 4 146
  7. Na nové auto sa neoplatí čakať. Trhu kraľujú jazdené 3 192
  8. Odsťahovali sa na lazy i do dodávky. Ako sa tam žije? 2 829
  9. Konope lieči veľa chorôb. Nebojte sa ho, dbajte však na kvalitu 2 358
  10. Spokojnosť je daná geneticky. Dá sa však zmeniť 2 217
Skryť Zatvoriť reklamu