Ako prišiel programátor o 50-tisíc dolárov

Hacker chcel získať prominentný účet na sociálnej sieti Twitter. Celý postup vydierania ukázal na problémy Twitteru i firmy GoDaddy.

(Zdroj: ILUSTRAČNÉ - SITA/AP)

BRATISLAVA. Naoki Hiroshima mal na sociálnej sieti Twitter veľmi vzácny účet. Jeho názov mal iba jedno písmeno – N.

Za jeho odkúpenie dostával pravidelne ponuky: najvyššia ponúkaná suma bola 50-tisíc dolárov . Mnohí sa tento účet pokúšali ukradnúť a Hiroshima bežne dostával emaily ohľadom zmeny zabudnutého hesla. Dlho odolával. Až do teraz.

Jednému hackerovi sa nakoniec útok podaril a pôvodný majiteľ už účet nemá pod kontrolou.

Vydieranie a výmena

Viac než samotná informácia je však zaujímavý samotný príbeh. Ako sa to útočníkovi podarilo? A kto pochybil, kde sú bezpečnostné problémy a ako lajdácky k bezpečnosti svojich klientov pristupujú veľké firmy?

Naoki používal email na vlastnej doméne. Tam bol zaregistrovaný aj jeho účet na Twitteri. Hacker najskôr ukradol doménu, aby s ňou presmeroval aj poštu na vlastný server.

Ostávalo už len požiadať o zmenu zabudnutého hesla na Twitteri a mail s potrebným kľúčom následne dorazil na email, ktorý mal už v tom okamihu patriť útočníkovi.

To sa však nepodarilo, pretože Naoki zmenil svoj email spárovaný s Twitter účtom na iný. Hacker však získal doménu a jej správcovské konto a tiež Facebookový účet Hiroshima.

S majiteľom začal vyjednávať. Ak odovzdá „N“, dostane späť ostatné ukradnuté prístupy. Naoki preto zhodnotil, že získať späť „N“ sa môže podariť aj neskôr. Podobne, ako to v roku 2012 dokázal Mat Honan, ktorý bol obeťou podobného útoku.

Prísť o domény, kde má aj firemné webové stránky, by bolelo viac. Na dohodu teda pristúpil.

Naoki zmenil prominentné meno účtu „N“ na „N_is_stolen“, teda „N_je_ukradnuté“ a informoval útočníka. Ten si ihneď prevzal uvoľnené „N“, vrátil prístup k ukradnutej doméne a ponúkol vysvetlenie detailov útoku.

Pochybili firmy

Ako sa dostal k doméne? Nepoužil pri tom žiadne moderné počítačové metódy útokov, ale jeden z najstarších hackerských útokov – sociálne inžinierstvo. Umožnili mu to ľudské chyby pracovníkov spoločností PayPal a GoDaddy.

„Najskôr som zavolal do PayPal a použil zopár veľmi jednoduchých techník sociálneho inžinierstva, aby som získal posledné štyri cifry tvojej karty.“, vysvetľuje útočník. „Zavolal som do GoDaddy a povedal som, že som stratil kartu, ale pamätám si posledné štyri cifry.“

Pre ilúziu silnejšieho overenia od útočníka žiadali aj prvé dve čísla karty. Nechali ho však hádať dovtedy, kým netrafil obe z nich.

Firma PayPal odmieta, že by z nej unikli akékoľvek informácie týkajúce sa tohto prípadu. Todd Redfoot, šéf informačnej bezpečnosti spoločnosti GoDaddy vo vyjadrení upozornil, že útočník mal k dispozícií veľkú časť informácií potrebných k získaniu prístupu. Priznal však aj chybu zamestnanca a prisľúbil zmeny v tréningu.

Autor je riaditeľom bezpečnostnej spoločnosti Citadelo.

Najčítanejšie na SME Tech


Hlavné správy zo Sme.sk

EKONOMIKA

Diskriminácia, sťažujú sa veriaci na nový poplatok za sobáš

Za cirkevný sobáš sa doteraz matričný poplatok neplatil, kresťanským aktivistom sa jeho zavedenie nepáči. Ministerstvo vnútra im sľubuje stretnutie.

DOMOV

Dobré ráno: Kto je Harabin a kto ho chce za prezidenta

Konšpirácie už nestačia, Harabina chcú za prezidenta

KOMENTÁRE

Profesionálni kresťania objavili novú diskrimináciu

Úrady si účtujú poplatok za akýsi administratívny úkon.

KOMENTÁRE

Harabin je šašo, nebezpečný bude Kotleba

Kotleba nemá čo prehrať, s hanbou neodíde, môže len oživiť svoj kapitál.

Neprehliadnite tiež

Vyriešili záhadu slávnych egyptských múmií, pomohla analýza DNA

Múmie dvoch vysokopostavených mužov, ktoré našli v roku 1907, patria k najlepšie zachovaným.

Mnohí si mysleli, že AIDS je zaslúžená lekcia. Zomrela vedkyňa a aktivistka Mathilde Krimová

Bola hlavnou americkou bojovníčkou proti poverám, strachu a predsudkom, ktoré stigmatizovali mnohých ľudí s AIDS.

Hypersonické lietadlo od Boeingu má byť päťkrát rýchlejšie ako zvuk

Na návrhu pracuje aj spoločnosť Lockheed Martin, ktorá vyrobila rekordné SR-71 Blackbird.

OBJEKTÍV

Najmenšia mačka na svete je zároveň aj najlepší zabijak

Dospelé mačky vyzerajú ako mačiatka.

Za šírenie Čiernej smrti môže človek, hovorí provokatívna štúdia

Morová pandémia zabila v polovici 14. storočia viac než tretinu obyvateľov Európy.

Inzercia - Tlačové správy


  1. Tatra banka spustila najmodernejší internet banking pre firmy
  2. Volkswagen T-Roc: Pre nerozhodných
  3. Leto 2018 v Grécku s odletom z Bratislavy
  4. Dlhopisy 7,25 % p.a. majú najvýhodnejšiu nákupnú cenu v roku
  5. Zelené Grunty vám ponúknu viac, ako očakávate
  6. Kam do tepla v januári?
  7. First moment Turecko: využite zľavy na špičkové hotely
  8. Konzultácia so svetovými odborníkmi dokáže zachrániť život
  9. Divoký Island: cesta ostrovom ľadu a ohňa
  10. Demänovku mieša iba jeden človek. Ako si strážia receptúru?
  1. Vlani sme si vyberali z vyše pol milióna inzerovaných áut
  2. V centre našej pozornosti sú zákazníci. Už 50 rokov
  3. Začiatok roka patrí dani z nehnuteľností
  4. Volkswagen T-Roc: Pre nerozhodných
  5. Tipy pre atraktívne poprsie po dojčení. Plastike povedzte nie
  6. Stanovisko spoločnosti Advokátska kancelária JUDr. Radomír Bžán
  7. Tatra banka spustila najmodernejší internet banking pre firmy
  8. Iba dnes: Narodeninové predplatné SME.sk za 25 eur
  9. Denník SME oslavuje 25 rokov rekordným počtom predplatiteľov
  10. Najinzerovanejšie zánovné auto roku 2017? Mnohých to prekvapí
  1. Iba dnes: Narodeninové predplatné SME.sk za 25 eur 15 801
  2. Tatra banka spustila najmodernejší internet banking pre firmy 5 933
  3. Volkswagen T-Roc: Pre nerozhodných 4 660
  4. Leto 2018 v Grécku s odletom z Bratislavy 3 960
  5. Kam do tepla v januári? 2 492
  6. Demänovku mieša iba jeden človek. Ako si strážia receptúru? 2 377
  7. Dlhopisy 7,25 % p.a. majú najvýhodnejšiu nákupnú cenu v roku 2 355
  8. First moment Turecko: využite zľavy na špičkové hotely 2 231
  9. Zelené Grunty vám ponúknu viac, ako očakávate 1 311
  10. Konzultácia so svetovými odborníkmi dokáže zachrániť život 1 099