Autorizace přes SMS webmail neochránila

8. 6. 2009

Sdílet

StrongWebmail přidává pro přístup ke svému e-mailu další vrstvu zabezpečení: telefonické ověření. Pro přihlášení je třeba zadat kód, který obdrží na mobilní telefon

Společnost StrongWebmail vyhlásila cenu 10 000 dolarů pro toho, kdo se jako první dokáže vlámat do e-mailového účtu jejího výkonného ředitele. Nakonec uspěl tým tří bezpečnostních výzkumníků, který tvořili Aviv Raff, Lance James a Mike Bailey.

Izraelec Raff je známý zejména zkoumáním bezpečnostních zranitelností webových prohlížečů Internet Explorer a Safari.

Viz také: Internet Explorer má obsahovat vážnou chybu, její zveřejnění ale je kontroverzní, iPhone: Rozzlobený výzkumník zveřejnil podrobnosti o bezpečnostních dírách.

StrongWebmail přidává pro přístup ke svému e-mailu další vrstvu zabezpečení: telefonické ověření. Uživatelé si při registraci služby zvolí jedno nebo více telefonních čísel. Pro přihlášení je pak potřeba zadat kód (tři číslice), který obdrží buď hlasovou nebo textovou zprávou na mobilní telefon – tedy obdoba SMS autorizace v některých systémech elektronického bankovnictví.

Společnost StrongWebmail poskytla v rámci soutěže e-mailovou adresu svého výkonného ředitele a jméno/heslo do systému. Předpokládalo se ale, že kvůli dodatečné autentizaci přes telefon k účtu stejně nepůjde nijak získat přístup.

Na Twitteru se objevily informace, podle nichž k průniku do systému nakonec posloužily zranitelnosti cross-site scripting na webu StrongWebmail, tyto zprávy však trojice výzkumníků nepotvrdila. Samotná společnost StrongWebmail také zatím zkoumá, kde byla v systému chyba – mohla by být i v poštovním softwaru, který má licencovaný od třetí strany.

 

Poznámky:

- Zabezpečení webových e-mailů je tradičním problémem. Zřejmě nejvíce medializovaná byla kauza, při níž útočníci ovládli účet americké viceprezidentské kandidátky Sarah Palinové na Yahoo. Viz také: Útočníci se dostali do e-mailu Sarah Palinové na Yahoo.

- Lze předpokládat, že Yahoo, Microsoft či Googlu budou také zavádět (asi volitelnou a placenou) formu zabezpečení e-mailu pomocí kódu posílaného jako SMS?

bitcoin_skoleni

- Nakolik je bezpečná SMS autorizace v elektronickém bankovnictví? Lze jí v případě zranitelností webu obejít?