Máte ke svému Twitteru, Facebooku a dalším internetovým službám silná hesla, která střežíte v hlavě? Nemusí to stačit. Slabá místa internetových služeb jsou totiž i mimo internet.
Naoki Hiroshima je vývojář žijící v Americe, který stojí za službami Cocoyon nebo Echofon. Jakožto člověk z internetové branže brzy zaznamenal nástup Twitteru a díky tomu si registroval exkluzivní jednopísmenové jméno @N. Po sedmi letech o něj přišel a The Next Web zveřejnil podivuhodný příběh, jak se to stalo. Novému majiteli stačil jednoduchý telefonní hack.
Za Twitterem přes doménu
O unikátní jméno na Twitteru byl Naoki Hiroshima opakovaně žádán z různých koutů světa, dokonce dostal nabídku na odkup za 50 tisíc dolarů. A samozřejmě se setkával s různými pokusy o útoky. Proto celkem pečlivě dbal na zabezpečení, měl silné heslo a správné nastavení pro jeho obnovu. Ani to ale nakonec nestačilo.
Ukradený účet. Co může nový majitel chtít udělat s exkluzivním názvem? Asi chvíli počkat až opadne humbuk a pak draze prodat. Původnímu majiteli nabízeli až 50 tisíc dolarů (cca milion korun)
Před týdnem dostal SMS zprávu od PayPalu s ověřovacím kódem. Pomyslel si, že se jen někdo pokusil přihlásit k jeho účtu na PayPalu, ale zajištění zafungovalo. Netřeba nic akutně řešit. Později tentýž den mu ale přišel e-mail od registrátora domény s potvrzením změny údajů k účtu. To už zbystřil, protože doména je součást jeho byznysu a provozuje na ni e-mail prostřednictvím Google Apps.
Doménu měl registrovanou u amerického registrátora GoDaddy, tak hned zavolal na linku podpory a chtěl situaci zkontrolovat. K ověření jeho totožnosti bylo požadováno posledních šest čísel z kreditní karty a v tom přišlo překvapení – čísla nesouhlasí. Pak už bylo jasno. Někdo se dostal k doméně a mohl tak upravit osobní údaje majitele i její doménové záznamy. Tím přesměruje existující e-mailovou adresu původně spravovanou skrze Google Apps do jiné služby a bude moci přijímat e-maily. Hned se tak může pustit do pokusů o změnu „zapomenutého“ hesla v různých službách.
Naoki Hiroshima měl pochopitelně řadu webových služeb registrovanou skrze svůj e-mail. Včetně svého vzácného Twitteru. K tomu se ale útočník vinou chyby v MX záznamu hned nedostal a účet na Twitteru tak zůstal prozatím zachráněn. Útočník se sice záhy dostal k účtu na Facebooku, ale o ten mu nešlo.
Když nejde hack, třeba zabere vydírání
Útočník záhy pochopil, že promarnil příležitost a že se k vysněnému účtu na Twitteru svým fíglem už nedostane, kontaktoval proto Naoki Hiroshimu a začal vyjednávat – opravdu chtěl jen jméno na Twitteru , které byl proto ochoten vyměnit za přístup k ukradené doméně. S doménou by útočník mohl nadělat více škody, e-maily byl potřeba pro práci hned a registrátor GoDaddy si na prověření situace vzal 48 hodin, proto Hiroshima na riskantní směnu přistoupil. Měl štěstí alespoň v tom, že vyděrač své slovo dodržel a ke směně došlo.
Naoki Hiroshima dal přednost doméně, svůj účet na Twitteru přejmenoval na „N_je_ukradeno“
Teď už má Naoki Hiroshima účet s názvem @N_is_stolen, nicméně vzhledem k jeho reputaci a především aktuálními mediálnímu zájmu je naděje, že se do hry vloží přímo samotný Twitter a uvede věci do pořádku. Pozornost se nyní ale zaměřuje na způsob, který útočník využil – nezdráhal se totiž Naokimu prozradit, jak se k doméně dostal. Nejprve zavolal na zákaznickou linku PayPalu a zkoušel „konverzační hacking“ – tzn. spojit se s živým operátorem a s ním řešit ověření totožnosti za účelem změny přístupových údajů. Nebylo to prý nijak těžké a získal tak díky tomu od operátora poslední čtyři číslice ke kreditce. To byl začátek.
Z doménového výpisu snadno zjistil, kde je registrovaná. Pokračoval proto telefonátem na GoDaddy a zkoušel to podobně. Už znal poslední čtyři čísla kreditky, což je v Americe hojně využívaný prvek k ověření. Na GoDaddy potřeboval posledních šest, což znamená hádání dvou číslic, tedy sto pokusů. Opět ale stačilo operátora trochu „ukecat“ tím, že kreditku ztratil, zapsané číslo zrovna po ruce nidke nemá a z hlavy si pamatuje jen poslední čtyři čísla. Povedlo se, pak už stačilo nahlásit změnu veškerých údajů včetně čísla nové kreditky.
Registrátor jako každý jiný, včetně těch českých. Kontaktní telefonní linka s nonstop provozem nechybí
Z příběhu vyplývající ponaučení je jasné – nespoléhejte se jen na silné heslo na internetu a pamatujte, že u mnohých služeb se lze ke změně uživatelského účtu dostat telefonicky. A to může být slabé místo. V PayPalu a GoDaddy nyní prověřují, kde došlo k selhání, ale dá se čekat, že vina padne na operátory zákaznických linek. Podobná rizika jsou ale bezesporu i u nás.
Naoki Hiroshima pak přímo doporučuje neregistrovat si internetové služby přes e-mail na vlastní doméně. Je to další teoretická cesta, jak se k účtu dostat. Kdyby nepoužíval Google Apps, ale jen samotný Gmail, útočník by se k jeho e-mailu nedostal. Dále doporučuje nebrat na lehkou váhu všeobecná doporučení zabezpečení týkající se silného hesla či dvoufázového přihlašování.