Vyzrazení korporátních hesel přes e-mail

Trouble Ticket

• Co řešit: Došlo k průlomu do e-mailového účtu Yahoo vysoké manažerky, což hackerovi otevřelo cestu do korporátní sítě.
• Akční plán: Rychle změnit všechna její hesla pro firemní domény i aplikace SaaS.

Tento týden zažila jedna z našich vrcholových manažerek útok na zabezpečení svého soukromí, což nakonec přerostlo i do pracovní sféry. Popíšu vám, co se přihodilo. Došlo totiž k vyzrazení hesla e-mailového účtu naší vedoucí představitelky, který měla na Yahoo. Od svých přátel se dozvěděla, že od ní dostali e-maily, ve kterých je žádá o pomoc v nouzi.

Asi jste již podobné historky slyšeli, ale útočník, který se prolomil do jejího e-mailu, byl o něco chytřejší než průměrný podvodník. Naštěstí se jedné její kamarádce zdála žádost podezřelá, a tak se pokusila identitu odesílatele ověřit.

Většina e-mailových hackerů by to v takové situaci pravděpodobně vzdala a zaměřila svou pozornost na jinou oběť, ale tento útočník prošel zprávy oběti a dozvěděl se z nich dostatek informací o její rodině, dovolených i zdravotních problémech – vše, aby dokázal zvědavou kamarádku oklamat a přesvědčit ji, aby poslala peníze.

Manažerka samozřejmě používala svůj soukromý e-mail pro řadu různých aktivit včetně nastavení účtů pro svou banku, makléřskou firmu, aerolinky a řadu nákupních webů. Byl to právě její účet na Yahoo, kam chodily e-maily obsahující hesla v případě, že je zapomněla. Horší však bylo, že často používala stejné heslo pro více serverů.

Poradil jsem jí, aby tento e-mail přestala používat a sdělila všem svým přátelům, že by měli všechny zprávy z této dotčené adresy ignorovat. Taková akce nebo jen změna hesla však nestačí na zastavení pohromy. Většina zlodějů identity si z kompromitovaného účtu stáhne do svého počítače veškeré tam dostupné údaje jako třeba kalendář a seznam kontaktů.

Je to zcela jednoduché, protože mnoho webových řešení tohoto typu svým zákazníkům umožňuje využívat pro stahování e-mailů klasické poštovní klienty, jako je například Microsoft Outlook. I když tedy dojde ke zrušení účtu nebo ke změně jeho hesla, bude mít hacker pravděpodobně stále k dispozici celý jeho obsah.

Protože nelze ochránit vyzrazený obsah, poradil jsem jí také, aby nahlásila celou událost policii, kontaktovala všechny banky, společnosti vydávající platební karty, makléřské firmy a další organizace, se kterými obchodovala on-line, ohlásila podvod hlavním úvěrovým agenturám, pořídila si novou e-mailovou adresu a pomocí ní aktualizovala všechny své účty.

Také jsem ji varoval, aby nepoužívala žádný počítač včetně svého domácího počítače, dokud neprověříme jejich integritu, protože stále neznáme způsob, jakým k vyzrazení jejího hesla došlo.

Nebezpečné návyky
V průběhu naší konverzace jsem si uvědomil, že má tento incident důsledky pro naši společnost. Rozšířili jsme využívání služeb SaaS natolik, že nyní už máme více aplikací typu SaaS než interních. Někdo by si mohly myslet, že je to úspěch. Já to však považuji za noční můru v oblasti zabezpečení.

Jak jsem již vysvětlil v předchozích příspěvcích, většina dodavatelů řešení SaaS se zaměřuje více na funkce a dostupnost než na problematiku ochrany. Tento incident je skvělou ukázkou, jak může takový přístup vést k problémům. Manažerka byla zvyklá zapomínat svá hesla pro aplikace SaaS – dala mi seznam sedmi takových řešení, která na její kompromitovaný e-mailový účet zaslala reset hesla v čitelné podobě!

Naštěstí nejsou žádné údaje využívané v těchto konkrétních aplikacích příliš citlivé. Manažerka však používala své doménové heslo pro všechny z nich. To znamenalo, že jsme museli změnit i toto heslo a její přihlašování ke všem ostatním aplikacím (celkem jich bylo cca 15), které nebyly synchronizovány s Active Directory či nebyly nakonfigurovány pro jednotné přihlašování.

Není nutné zdůrazňovat, že to pro tuto naši manažerku nebyl dobrý den. Pozitivním důsledkem však je, že jsem získal podporovatele pro svůj program školení.

Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.