Paris Hilton obětí hackerů

V roce 2005 upoutal pozornost více či méně seriózních médií příběh známé aféristky Paris Hiltonové a jejího hacknutého telefonu.



V této souvislosti se objevilo množství neuvěřitelných informací - většinou nepravdivých. Aféra měla všechny aspekty mediálně zajímavého příběhu: vévodilo jí velké jméno a týkala se i dalších celebrit, obsahovala pikantní a osobní informace, zapleteni do ní byli (pro veřejnost) tak trochu záhadní a tajuplní hackeři...
Pokusme se nyní oprostit od bulvárního pozadí celé aféry (nicméně napadení dat průměrné Američanky by asi podobnou mediální pozornost neupoutalo) a podívejme se na ryze technickou stránku věci. Upozorňujeme jen, že následující informace jsou ověřené z různých zdrojů, nejde jen o osobní výpovědi zainteresovaných hackerů, ale třeba i o důkazy v podobě screenshotů zveřejněných v deníku Washington Post.
Na veřejnost se celý skandál dostal v únoru 2005, kdy se objevila první zpráva o tom, že mobilní telefon Paris Hiltonové byl napaden hackery, kterým se z něj podařilo "vycucat" obzvláště pikantní a osobní informace. Už tato zpráva nebyla pravdivá, protože nedošlo k napadení samotného mobilu, ale serverů s uloženými informacemi - přesný popis útoku najdete níže. Samozřejmě, s tím, jak se zpráva šířila, si k ní každý něco přidával a zanedlouho byla na světě zvěst o všemocných hackerech, schopných provádět sofistikované útoky. Přitom celý "sofistikovaný útok" měl podobu podceněné bezpečnostní chyby na webu a jednoho jediného obyčejného telefonátu...
Vlastní útok proti datům Paris Hiltonové se začal chystat dlouho (údajně nejméně rok) před inkriminovaným datem. Tehdy hackeři nalezli na webu společnosti T-Mobile International v USA vážnou bezpečnostní chybu. Ta jim ve spojení se speciálním programem umožňovala mazat hesla k on-line účtům některých klientů. A jakmile bylo heslo jednou smazáno (a tudíž prázdné), nebyl pro hackera problém se k účtu přihlásit. Útočníci se pochopitelně nemohli dostat k účtům kohokoliv, ale jen k účtům osob používajících technologii Sidekick. To je název drahého zařízení, plnícího funkci telefonu, organizéru a fotoaparátu. Sidekick totiž kromě své vlastní interní paměti ukládá videa, fotografie a další data na centrální servery T-Mobilu.
Kromě omezení na majitele technologie Sidekick měli hackeři před sebou ještě jeden limit: museli znát telefonní číslo účastníka, kterého chtěli napadnout. Dlouho měli k dispozici pouze čísla svých přátel nebo nezajímavých osob, ale pak dospěli k rozhodnutí, že by to chtělo provést útok na zajímavý cíl. A rozhodli se právě pro Paris Hiltonovou. O tom, že Sidekick používá, věděli třeba z inzerátů, v nichž tuto technologii propagovala, nebo z bulvárního tisku, kde se dočtete kdejakou pro život běžného smrtelníka "podstatnou" informaci, včetně značky mobilního zařízení používaného některou celebritou.
Hackeři dlouho podrobně studovali slabiny webu T-Mobilu, až se 19. února 2005 rozhodli zaútočit. Jeden člen skupiny zvedl telefon a zavolal obchodnímu zástupci T-Mobilu v jistém městě v jižní Kalifornii. Představil se jako manažer z ústředí T-Mobilu vyšetřující informace o problémech s rychlostí interní sítě. Rozhovor vypadal podle hackerů následovně:
"Tady je [použité jméno] z ústředí T-Mobilu ve Washingtonu. Slyšeli jsme, že máte problémy s nástroji pro správu zákaznických účtů?"
"Ne, nemáme žádné skutečné problémy, jen občas nějaké zpomalení síťového provozu. To je vše."
"Ano, tak to mám popsané ve zprávě. Chtěli bychom se na to rychle podívat."
"Výborně, co od nás potřebujete?"
Zaměstnanec T-Mobilu následně nabídl interní internetovou adresu sloužící ke správě účtů klientů. Tato stránka je pochopitelně nepřístupná veřejnosti a chráněná heslem. Samozřejmě, že ochotně sdělil i dotyčné heslo.
O několik minut později už skupina hackerů procházela danou stránku a hledala použitelné informace, hlavně nějaká zajímavá jména. A především jméno Paris Hiltonové. (Jen mimochodem: nebyla jedinou obětí hackerských rejdů, protože ti se bavili i tím, že telefonicky obtěžovali herce Laurence Fishburna, herce z kultovního filmu Matrix, kde ztvárnil Morphea, kapitána futuristické lodi Nebuchadnezzar.)
Hackeři záhy našli, co hledali: telefonní číslo Paris Hiltonové. Pak už jim nic nebránilo v tom, aby resetovali její heslo. Následně se s vlastním telefonem Sidekick přihlásili k účtu s prázdným heslem, takže si ze serveru pohodlně stáhli veškerá data.
Sázka na Paris Hiltonovou vyšla - útočníci opravdu trefili jackpot, když mezi daty objevili soukromé fotografie zachycující majitelku účtu nahoře bez v objetí s přítelkyní... Hackeři se následně dohadovali, co učiní dále a usnesli se, že takováto trefa do černého se povede jen naprosto výjimečně a že se prostě musí zveřejnit. Brzy ráno 20. února 2005 se tak veškerá data (mezi nimi byla kromě výše zmíněných fotografií např. telefonní čísla celebrit Cristiny Aguilerové, Eminema, Anny Kournikové nebo Vin Diesela) objevila na diskusním fóru stránky GenMay.com (zkratka General Mayhem). Během krátké chvíle už bylo vše nakopírováno na desítkách stránek a blogů.
Podtrženo, sečteno: Paris Hiltonová neudělala z technického hlediska vůbec nic špatně, její soukromá data unikla na veřejnost kvůli chybě provozovatele serveru. T-Mobile však opakovaně odmítá celou situaci objasnit s tím, že nemůže komentovat probíhající vyšetřování.
Celý případ má dohru, neboť jistý Nicolas Jacobsen (22) z města Santa Ana v Kalifornii je postaven před federální soud a je mu kladeno za vinu právě proniknutí do systémů společnosti T-Mobile. Za to mu hrozí až pět let vězení a pokuta až 250 tisíc dolarů. Jako přitěžující okolnost je uváděno, že dokázal získat přístup i k účtům Sidekick používaným agentem nejmenované americké tajné služby!
V čem tedy byl problém? Firmy vynakládají milióny dolarů na zajištění bezpečnosti po softwarové i hardwarové stránce, ale na telefonních linkách pak stejně sedí levná a špatně proškolená pracovní síla. Ta sice dodržuje určité předpisy a pravidla, ale nikoliv pro všechny situace. Navíc jsou tito pracovníci často placeni provizemi z prodeje, což je nutí být vstřícní, přátelští a spolupracující. Jsou tak nesmírně zranitelní vůči všem podobám sociálního inženýrství.
Aniž bychom se v daném případě chtěli jakkoliv zastávat hackerů, podotýkáme, že proti firmě, která prokazatelně nebyla schopna nebo ochotna více než rok odhalit neoprávněné přístupy ke klientským účtům, nebylo a pravděpodobně nebude vznesené žádné obvinění. Přitom množství vymazaných hesel, přístupů k různým účtům z několika málo adres a dalších skutečností by si musel všimnout i velmi primitivní sledovací software...
Místo závěru pak uvádíme, že audit webových stránek společnosti T-Mobile provedený v březnu 2006 odhalil stovky veřejně známých chyb a zranitelností...










Komentáře