Varovný příběh: Jak přes telefon přijít o internetové účty

Máte ke svému Twitteru, Facebooku a dalším internetovým službám silná hesla, která střežíte v hlavě? Nemusí to stačit. Slabá místa internetových služeb jsou totiž i mimo internet.

Naoki Hiroshima je vývojář žijící v Americe, který stojí za službami Cocoyon nebo Echofon. Jakožto člověk z internetové branže brzy zaznamenal nástup Twitteru a díky tomu si registroval exkluzivní jednopísmenové jméno @N. Po sedmi letech o něj přišel a The Next Web zveřejnil podivuhodný příběh, jak se to stalo. Novému majiteli stačil jednoduchý telefonní hack.

Za Twitterem přes doménu

O unikátní jméno na Twitteru byl Naoki Hiroshima opakovaně žádán z různých koutů světa, dokonce dostal nabídku na odkup za 50 tisíc dolarů. A samozřejmě se setkával s různými pokusy o útoky. Proto celkem pečlivě dbal na zabezpečení, měl silné heslo a správné nastavení pro jeho obnovu. Ani to ale nakonec nestačilo.

472092249 
Ukradený účet. Co může nový majitel chtít udělat s exkluzivním názvem? Asi chvíli počkat až opadne humbuk a pak draze prodat. Původnímu majiteli nabízeli až 50 tisíc dolarů (cca milion korun)

Před týdnem dostal SMS zprávu od PayPalu s ověřovacím kódem. Pomyslel si, že se jen někdo pokusil přihlásit k jeho účtu na PayPalu, ale zajištění zafungovalo. Netřeba nic akutně řešit. Později tentýž den mu ale přišel e-mail od registrátora domény s potvrzením změny údajů k účtu. To už zbystřil, protože doména je součást jeho byznysu a provozuje na ni e-mail prostřednictvím Google Apps.

Doménu měl registrovanou u amerického registrátora GoDaddy, tak hned zavolal na linku podpory a chtěl situaci zkontrolovat. K ověření jeho totožnosti bylo požadováno posledních šest čísel z kreditní karty a v tom přišlo překvapení – čísla nesouhlasí. Pak už bylo jasno. Někdo se dostal k doméně a mohl tak upravit osobní údaje majitele i její doménové záznamy. Tím přesměruje existující e-mailovou adresu původně spravovanou skrze Google Apps do jiné služby a bude moci přijímat e-maily. Hned se tak může pustit do pokusů o změnu „zapomenutého“ hesla v různých službách. 

Naoki Hiroshima měl pochopitelně řadu webových služeb registrovanou skrze svůj e-mail. Včetně svého vzácného Twitteru. K tomu se ale útočník vinou chyby v MX záznamu hned nedostal a účet na Twitteru tak zůstal prozatím zachráněn. Útočník se sice záhy dostal k účtu na Facebooku, ale o ten mu nešlo.

Když nejde hack, třeba zabere vydírání

Útočník záhy pochopil, že promarnil příležitost a že se k vysněnému účtu na Twitteru svým fíglem už nedostane, kontaktoval proto Naoki Hiroshimu a začal vyjednávat – opravdu chtěl jen jméno na Twitteru , které byl proto ochoten vyměnit za přístup k ukradené doméně. S doménou by útočník mohl nadělat více škody, e-maily byl potřeba pro práci hned a registrátor GoDaddy si na prověření situace vzal 48 hodin, proto Hiroshima na riskantní směnu přistoupil. Měl štěstí alespoň v tom, že vyděrač své slovo dodržel a ke směně došlo.

880477056
Naoki Hiroshima dal přednost doméně, svůj účet na Twitteru přejmenoval na „N_je_ukradeno“ 

Teď už má Naoki Hiroshima účet s názvem @N_is_stolen, nicméně vzhledem k jeho reputaci a především aktuálními mediálnímu zájmu je naděje, že se do hry vloží přímo samotný Twitter a uvede věci do pořádku. Pozornost se nyní ale zaměřuje na způsob, který útočník využil – nezdráhal se totiž Naokimu prozradit, jak se k doméně dostal. Nejprve zavolal na zákaznickou linku PayPalu a zkoušel „konverzační hacking“ – tzn. spojit se s živým operátorem a s ním řešit ověření totožnosti za účelem změny přístupových údajů. Nebylo to prý nijak těžké a získal tak díky tomu od operátora poslední čtyři číslice ke kreditce. To byl začátek.

Z doménového výpisu snadno zjistil, kde je registrovaná. Pokračoval proto telefonátem na GoDaddy a zkoušel to podobně. Už znal poslední čtyři čísla kreditky, což je v Americe hojně využívaný prvek k ověření. Na GoDaddy potřeboval posledních šest, což znamená hádání dvou číslic, tedy sto pokusů. Opět ale stačilo operátora trochu „ukecat“ tím, že kreditku ztratil, zapsané číslo zrovna po ruce nidke nemá a z hlavy si pamatuje jen poslední čtyři čísla. Povedlo se, pak už stačilo nahlásit změnu veškerých údajů včetně čísla nové kreditky.

248201599
Registrátor jako každý jiný, včetně těch českých. Kontaktní telefonní linka s nonstop provozem nechybí

Z příběhu vyplývající ponaučení je jasné – nespoléhejte se jen na silné heslo na internetu a pamatujte, že u mnohých služeb se lze ke změně uživatelského účtu dostat telefonicky. A to může být slabé místo. V PayPalu a GoDaddy nyní prověřují, kde došlo k selhání, ale dá se čekat, že vina padne na operátory zákaznických linek. Podobná rizika jsou ale bezesporu i u nás. 

Naoki Hiroshima pak přímo doporučuje neregistrovat si internetové služby přes e-mail na vlastní doméně. Je to další teoretická cesta, jak se k účtu dostat. Kdyby nepoužíval Google Apps, ale jen samotný Gmail, útočník by se k jeho e-mailu nedostal. Dále doporučuje nebrat na lehkou váhu všeobecná doporučení zabezpečení týkající se silného hesla či dvoufázového přihlašování. 

Diskuze (15) Další článek: Tak už i pračky: Samsung představil chytrou pračku s Wi-Fi a Androidem

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,