Шифратор (smok) wrote,
Шифратор
smok

Как получить секреты крупной компании за 5 шагов

Только что прочитал потрясающую (гиковскую) статью - The Anatomy Of The Twitter Attack, о том, как один хакер довольно простым способом получил доступ к тоннам конфиденциальной информации всей компании Twitter. Но мне кажется, выводы будут интересны многим.

Итак, 5 шагов:
1) Берем личный ящик не особенно параноидального сотрудника (на GMail), тыкаем на кнопку "забыл пароль". Система по восстановлению пароля отправляет одноразовую ссылку на вторичный адрес ***@h***.
2) Догадываемся, что этот адрес (о чудо!) на hotmail.com, который больше не существует и свободен для регистрации. Конечно же, регистрируемся и получаем доступ к первому ящику на GMail.
3) Теперь надо сказать спасибо сервисам, которые высылают пароль после регистрации, и теперь они у нас в руках, (т.е. у жертвы в ящике). О чудо, опять же, пароль почти везде один и тот же, например, god14. Скорее всего, этот пароль и был в оригинале на GMail-е, ставим его обратно. Жертва ни о чем не догадывается.
4) Опять чудо! Корпоративный ящик имеет тот же пароль, что и личный ящик.
5) Берем хороший интернет и сливаем всю почту вместе с приложениями (читай - важными финансовыми документами) к себе.

Это примерно так же, как во всех авиа происшествиях. Комбинация факторов, каждый из которых сам по себе большого значения не имеет, приводит к катастрофе. Факторы простые:
1) Дурная привычка иметь везде один и тот же пароль (говорят, нынче самый модный - "password1").
2) Дебильные сервисы, которые присылают пароль в чистом виде после регистрации (я подозреваю, они еще его и хранят у себя в нешифрованном виде).
3) Излишняя честность при ответе на "Секретный вопрос для восстановления пароля" в духе "Мою кошечку зовут Маша". Догадаться не очень сложно.

Подозреваю, многие повторяют свои пароли в разных местах (иначе недолго свихнуться) и имеют в ящике с десяток писем от дружелюбных сервисов, приславших пароль после регистрации. Будьте бдительны :)
Tags: мысли, прогр.
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 3 comments