Do e-mailu a k bankovnímu účtu blogerky se šlo nabourat za 90 minut

29. 8. 2008

Sdílet

Herbert Thompson se se souhlasem vytipované oběti nejprve proboural do jejího e-mailu s pomocí doplňujících otázek při zapomenutí hesla. Odpovědi (datum a místo narození, jméno rodičů apod.) získal vyhledáváním především na blogu dotyčné. Jakmile se dostal do e-mailu, zde našel i pokyn z banky...

Blogy, sociální sítě či diskusní fóra představují skutečné bezpečnostní riziko. Stačí trochu prohledávat Googlem a zjistíte téměř všechno, co o dotyčném potřebujete vědět, třeba jakou používá e-mailovou službu nebo on-line bankovnictví.
Nejjednodušším zneužitím je útok s odhadnutým heslem. Ani tehdy, když dotyčný nepoužívá jména svého psa, ale ještě není v bezpečí. Řada služeb umožňuje volbu „zapomenuté heslo“, načež pokládá doplňovací otázku – a to už klidně může být jméno psa či manželky.
Herbert Thompson, ředitel bezpečnostní strategie v konzultační firmě People Security, předvedl možné krádeže identity pomocí aplikací Web 2.0 v článku zveřejněném v Scientific American. Se souhlasem vytipované oběti se nejprve proboural do jejího e-mailu s pomocí doplňujících otázek při zapomenutí hesla. Odpovědi (datum a místo narození, jméno rodičů apod.) získal vyhledáváním především na blogu dotyčné.
Jakmile se dostal do e-mailu, zde našel i pokyn z banky pro změnu přístupu k on-line účtu (poznámka: to by ale banka takto posílat neměla). Celá operace Thomsponovi zabrala hodinu a půl. Ve Scientific American mj. uvedl, že ukradené číslo platební karty má spolu s dodatečnými údaji (např. jméno matky za svobodna) na nelegálních aukcích až 10krát větší cenu. Řada uživatelů přitom tyto informace o sobě poskytuje zcela dobrovolně. Na současném internetu přitom existuje spousta archivů či údajů v pamětech vyhledávačů, které umožňují najít informace i dávno poté, co je uživatel odstranil.
Uživatelé by měli u svých služeb podrobně projít způsoby, jimiž se mění zapomenuté heslo. Pokud lze jakoukoliv z odpovědí na určitou otázku „vygooglovat“, měli by provozovatele služby ihned požádat o změnu příslušného mechanismu.

Zdroj: Computerworld.com

Viz také:
Z Facebooku unikla data narození
Obří krádež identity: v USA 11 zatčených

Autor článku