Operacja Hakerazzi, czyli o hakerach i głupich pytaniach

13.10.2011
Operacja Hakerazzi, czyli o hakerach i głupich pytaniach

Operacja Hakerazzi, czyli o hakerach i głupich pytaniach

Amerykańskie Federalne Biuro Śledcze z dumą i wielką pompą ogłosiło, że udało mu się złapać niejakiego Christophera Chaney’a – faceta, który w ciągu ostatnich kilku miesięcy włamywał się do skrzynek pocztowych najróżniejszych gwiazd i gwiazdeczek. Sprawa ciekawa jest o tyle, że Chaney’a ujawnił dość specyficzny problem współczesnych systemów zabezpieczających konta pocztowe.

O całej tej historii zrobiło się głośno kilka tygodni temu, gdy w Sieci opublikowano zdjęcia Scarlett Johansson w negliżu – jak się okazało, zostały one skradzione z jej konta pocztowego. FBI potraktowało sprawę z podziwu godną powagą, dzięki czemu wczoraj na wielkiej konferencji agenci z dumą poinformowali, że złapali zbrodniarza i wsadzą go do więzienia może nawet na 121 lat. (Dla jasności: nie lekceważę przestępstwa – takie drastyczne naruszenie prywatności to poważna sprawa, ale mimo wszystko wiek pierdla z okładem wydaje się pewną przesadą.)

Przy okazji okazało się, że 35-letni Christopher Chaney włamał się do skrzynek w sumie ok. 50 amerykańskich celebrytów i w każdym przypadku ustawił przesyłanie kopii wszystkich wiadomości na własny adres. Dzięki temu miał stały dostęp do informacji o gwiazdach i skwapliwie z tego korzystał, sprzedając sensacje najróżniejszym brukowcom.

Najciekawsze w tym wszystkim jest to, jak Chaney uzyskiwał dostęp do skrzynek celebrytów. W komunikacie FBI napisano, że robił to korzystając z “dostępnych publicznie informacji”, a na konferencji prasowej sprecyzowano, że chodziło o resetowanie haseł dostępu do kont. Innymi słowy: “haker” znajdował adres e-mail wybranej osoby, wchodził na stronę dostawcy konta, wpisywał adres i wybierał opcję “Nie pamiętam hasła”. Wtedy wyświetlało się pytanie pomocnicze… i tu był pies pogrzebany.

System resetowania hasła na podstawie odpowiedzi na predefiniowane pytanie od zawsze wydawał mi się mocno kulawy – szczególnie w przypadku serwisów, które same narzucały pytania (w stylu: jak nazywała się twoja nauczycielka matematyki z 2. klasy, jak miał na imię ukochany psiak? Itp.). Problem polega na tym, że w większości przypadków właściciel konta nie jest jedyną osobą, która zna poprawną odpowiedź.

Okazuje się jednak, że ten problem w przypadku celebrytów jest znacznie poważniejszy – bo na ich temat można w Sieci znaleźć tony informacji i o ile pytanie nie jest jakoś szczególnie przemyślane, to ze znalezieniem odpowiedzi nie ma większych problemów. Czego dowodem jest sprawa Chaney’a – bo jeśli ktoś w kilka miesięcy zdołał uzyskać w ten sposób dostęp do skrzynek 50 “gwiazd”, to znaczy, że coś jest na rzeczy…

A to znaczy, że dostawcy najróżniejszych usług wymagających logowania powinni dawno już zrezygnować z mechanizmu odzyskiwania haseł opierającego się na pytaniach i odpowiedziach. Tym razem padło na Scarlett Johansson i jej nagie fotki, ale przecież większość z nas udostępnia w Sieci coraz więcej informacji osobistych. Pozornie niegroźnych i pozornie nieprzydatnych dla innych, ale głowę dam, że przeglądając publiczne profile na NK czy Facebooku można bez większego problemu znaleźć odpowiedzi umożliwiające uzyskanie dostępu do kont tysięcy internautów…

Dołącz do dyskusji

Advertisement