reklama

Varovný příběh: Jak přes telefon přijít o internetové účty

Máte ke svému Twitteru, Facebooku a dalším internetovým službám silná hesla, která střežíte v hlavě? Nemusí to stačit. Slabá místa internetových služeb jsou totiž i mimo internet.

Naoki Hiroshima je vývojář žijící v Americe, který stojí za službami Cocoyon nebo Echofon. Jakožto člověk z internetové branže brzy zaznamenal nástup Twitteru a díky tomu si registroval exkluzivní jednopísmenové jméno @N. Po sedmi letech o něj přišel a The Next Web zveřejnil podivuhodný příběh, jak se to stalo. Novému majiteli stačil jednoduchý telefonní hack.

Za Twitterem přes doménu

O unikátní jméno na Twitteru byl Naoki Hiroshima opakovaně žádán z různých koutů světa, dokonce dostal nabídku na odkup za 50 tisíc dolarů. A samozřejmě se setkával s různými pokusy o útoky. Proto celkem pečlivě dbal na zabezpečení, měl silné heslo a správné nastavení pro jeho obnovu. Ani to ale nakonec nestačilo.

Klepněte pro větší obrázek 
Ukradený účet. Co může nový majitel chtít udělat s exkluzivním názvem? Asi chvíli počkat až opadne humbuk a pak draze prodat. Původnímu majiteli nabízeli až 50 tisíc dolarů (cca milion korun)

Před týdnem dostal SMS zprávu od PayPalu s ověřovacím kódem. Pomyslel si, že se jen někdo pokusil přihlásit k jeho účtu na PayPalu, ale zajištění zafungovalo. Netřeba nic akutně řešit. Později tentýž den mu ale přišel e-mail od registrátora domény s potvrzením změny údajů k účtu. To už zbystřil, protože doména je součást jeho byznysu a provozuje na ni e-mail prostřednictvím Google Apps.

Doménu měl registrovanou u amerického registrátora GoDaddy, tak hned zavolal na linku podpory a chtěl situaci zkontrolovat. K ověření jeho totožnosti bylo požadováno posledních šest čísel z kreditní karty a v tom přišlo překvapení – čísla nesouhlasí. Pak už bylo jasno. Někdo se dostal k doméně a mohl tak upravit osobní údaje majitele i její doménové záznamy. Tím přesměruje existující e-mailovou adresu původně spravovanou skrze Google Apps do jiné služby a bude moci přijímat e-maily. Hned se tak může pustit do pokusů o změnu „zapomenutého“ hesla v různých službách. 

Naoki Hiroshima měl pochopitelně řadu webových služeb registrovanou skrze svůj e-mail. Včetně svého vzácného Twitteru. K tomu se ale útočník vinou chyby v MX záznamu hned nedostal a účet na Twitteru tak zůstal prozatím zachráněn. Útočník se sice záhy dostal k účtu na Facebooku, ale o ten mu nešlo.

Když nejde hack, třeba zabere vydírání

Útočník záhy pochopil, že promarnil příležitost a že se k vysněnému účtu na Twitteru svým fíglem už nedostane, kontaktoval proto Naoki Hiroshimu a začal vyjednávat – opravdu chtěl jen jméno na Twitteru , které byl proto ochoten vyměnit za přístup k ukradené doméně. S doménou by útočník mohl nadělat více škody, e-maily byl potřeba pro práci hned a registrátor GoDaddy si na prověření situace vzal 48 hodin, proto Hiroshima na riskantní směnu přistoupil. Měl štěstí alespoň v tom, že vyděrač své slovo dodržel a ke směně došlo.

Klepněte pro větší obrázek
Naoki Hiroshima dal přednost doméně, svůj účet na Twitteru přejmenoval na „N_je_ukradeno“ 

Teď už má Naoki Hiroshima účet s názvem @N_is_stolen, nicméně vzhledem k jeho reputaci a především aktuálními mediálnímu zájmu je naděje, že se do hry vloží přímo samotný Twitter a uvede věci do pořádku. Pozornost se nyní ale zaměřuje na způsob, který útočník využil – nezdráhal se totiž Naokimu prozradit, jak se k doméně dostal. Nejprve zavolal na zákaznickou linku PayPalu a zkoušel „konverzační hacking“ – tzn. spojit se s živým operátorem a s ním řešit ověření totožnosti za účelem změny přístupových údajů. Nebylo to prý nijak těžké a získal tak díky tomu od operátora poslední čtyři číslice ke kreditce. To byl začátek.

Z doménového výpisu snadno zjistil, kde je registrovaná. Pokračoval proto telefonátem na GoDaddy a zkoušel to podobně. Už znal poslední čtyři čísla kreditky, což je v Americe hojně využívaný prvek k ověření. Na GoDaddy potřeboval posledních šest, což znamená hádání dvou číslic, tedy sto pokusů. Opět ale stačilo operátora trochu „ukecat“ tím, že kreditku ztratil, zapsané číslo zrovna po ruce nidke nemá a z hlavy si pamatuje jen poslední čtyři čísla. Povedlo se, pak už stačilo nahlásit změnu veškerých údajů včetně čísla nové kreditky.

Klepněte pro větší obrázek
Registrátor jako každý jiný, včetně těch českých. Kontaktní telefonní linka s nonstop provozem nechybí

Z příběhu vyplývající ponaučení je jasné – nespoléhejte se jen na silné heslo na internetu a pamatujte, že u mnohých služeb se lze ke změně uživatelského účtu dostat telefonicky. A to může být slabé místo. V PayPalu a GoDaddy nyní prověřují, kde došlo k selhání, ale dá se čekat, že vina padne na operátory zákaznických linek. Podobná rizika jsou ale bezesporu i u nás. 

Naoki Hiroshima pak přímo doporučuje neregistrovat si internetové služby přes e-mail na vlastní doméně. Je to další teoretická cesta, jak se k účtu dostat. Kdyby nepoužíval Google Apps, ale jen samotný Gmail, útočník by se k jeho e-mailu nedostal. Dále doporučuje nebrat na lehkou váhu všeobecná doporučení zabezpečení týkající se silného hesla či dvoufázového přihlašování. 

Témata článku: Web, Bezpečnost, Mobilní telefon, Twitter, Proto, Google Apps, Hack

15 komentářů

Nejnovější komentáře

  • Martin Černohorský 31. 1. 2014 10:45:48
    No jo, ale když se odstraní slabý článek lidi budu jenom víc brblat, že si...
  • Krejmaj 30. 1. 2014 13:06:04
    stejne moc nechapu jak se dostal k nazvu toho emailu nebo odkud prisel na...
  • Václav Hrabal 30. 1. 2014 10:48:38
    Já přišel před pár lety o účet na Seznamu, ale to bylo zřejmě díky havěti...
reklama
Určitě si přečtěte

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

Microsoft: Zbavte se už konečně zastaralých a děravých Windows 7

** Microsoft pomalu začíná kritizovat svůj nejpopulárnější OS ** Chce konečně dostat podniky na Desítky ** Bezpečnostní podpora Sedmiček vydrží ještě necelé tři roky

17.  1.  2017 | Jakub Čížek | 406

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

Vyzkoušeli jsme FM štěnici: Když si vtipálci hrají na pirátské rozhlasové vysílání

** Dnes žádnou elektroniku programovat nebudeme ** Štěnice totiž funguje sama o sobě ** Stačí připojit baterii a naladit frekvenci

Včera | Jakub Čížek | 11

8 produktů, o kterých byste neřekli, že nesou značku Apple

8 produktů, o kterých byste neřekli, že nesou značku Apple

** Věděli jste, že Apple vyvinul celkem 45 modelů tiskáren? ** ** Monitor na výšku, plotter nebo herní konzole - to vše měl Apple ve své nabídce ** Většinu z těchto produktů pohřbil Steve Jobs

19.  1.  2017 | Stanislav Janů | 42

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

Umělá inteligence dokáže ze snímků srdce předpovědět, kdy zemřete

** Strojové učení lze skvěle použít pro vylepšení modelů pro předpověď srdečních komplikací ** Nová technologie umožňuje přesněji určit rizikové pacienty ** Dřívější diagnostika může díky včasně léčbě do budoucna zachránit životy

21.  1.  2017 | Karel Javůrek | 6


Aktuální číslo časopisu Computer

99 nejlepších programů pro váš počítač

Zvykejte si na umělou inteligenci

Velké testy PC zdrojů a gamepadů

Alternativní zdroje energie

reklama
reklama