Недавно я прочёл о том, что учётная запись Сары Пэйлин на сервисе Yahoo! Mail была взломана (прим.: подробнее об это можно прочитать здесь). Интерес этот взлом представляет собой хотя бы потому что взломщик не угадывал ее пароль и не искал уязвимость в почтовом сервисе Yahoo! Вместо этого он воспользовался возможность восстановления забытого пароля и поисковиком. Блог The Threat Level в посте Palin E-Mail Hacker Says It Was Easy опубликовал письмо от хакера, которое мы приведем ниже
Фундаментальная дырка в безопасности огромного числа реализаций восстановления забытого пароля заключается в том, что они считают «секретной» ту информацию, которая таковой не является из-за социальных сетей, блогов и даже Википедии. Служба восстановления пароля на сервисе Yahoo! Mail рассчитывает, что ответы на вопросы о дате рождения, индексе и стране проживания достаточны для доказательства того, что вы это вы. Учитывая, что эта информация обычно представлена на среднестатистической странице MySpace или профиле Facebook, становится смешно, что это все что останавливает кого-то от кражи вашего сетевого «я».
Даже те сайты, которые пытаются быть более защищенными при помощи более личных вопросов вроде «Как звали вашего питомца в детстве?» или «Где вы встретили своего супруга?» не спасут, потому как люди часто пишут о своих собаках или кошках и рассказывают истории о том как они встретились с супругом на свадебных сайтах по всей сети.
Веб-разработчикам пора начать задумываться, почему стоить перестать делать восстановление пароля на основе ответов на личные вопросы. Интересно, сколько еще потребуется громких взломов прежде чем люди начнут ненавидеть отсылку на email забытого пароля (Вы ведь знаете почему это плохо, правда?).
rubico 09/17/08(Wed)12:57:22 No.85782652
Привет, /b/ как, наверное, многие из вас уже слышали, прошлой ночью ящик Сары Пэйлин на yahoo был «взломан» и скриншоты были выложены на /b/. Я тот самый человек, который осуществил взлом и хочу рассказать об этом.
В один из прошедших дней в новостях упомянули что Сара Пэйлин пользуется электронной почтой на yahoo. Поскольку об этом сказали в новостях, сотни новичков пытались взломать ее ящик; скорее из-за этих неумелых попыток в течение 2 последующих часов восстановление забытого пароля было заблокировано.
После повторного включения этой возможности, мне на самом деле понадобилось 45 минут чтения Википедии и гугла чтобы заполучить необходимую информацию. День рождения? 15 секунд в Википедии! Индекс? Ну она вроде выходец из местечка под названием Wasilla. Там используется всего 2 индекса (спасибо он-лайн сервисам почтовой службы!).
Второй вопрос был немного сложнее: «Где вы встретили своего супруга?». Я провел некоторые изыскания и, очевидно, она встретила мистера Пэйлин после колледжа. Если вы внимательно посмотрите на скриншоты, которые сделал я и которые были выложены заботливыми анонимами на photobucket, то увидите, что открыто окно с поиском в гугле по словами «palin eloped» или что-то в этом духе.
Чуть позже, после некоторых размышлений и поиска, я пришел к выводу, что они познакомились в старших классах школы (high school). Я попробовал несколько вариантов вроде high, high school и, наконец, ввёл Wasilla high; после этого я сменил пароль на popcorn и принял холодный душ.
Фундаментальная дырка в безопасности огромного числа реализаций восстановления забытого пароля заключается в том, что они считают «секретной» ту информацию, которая таковой не является из-за социальных сетей, блогов и даже Википедии. Служба восстановления пароля на сервисе Yahoo! Mail рассчитывает, что ответы на вопросы о дате рождения, индексе и стране проживания достаточны для доказательства того, что вы это вы. Учитывая, что эта информация обычно представлена на среднестатистической странице MySpace или профиле Facebook, становится смешно, что это все что останавливает кого-то от кражи вашего сетевого «я».
Даже те сайты, которые пытаются быть более защищенными при помощи более личных вопросов вроде «Как звали вашего питомца в детстве?» или «Где вы встретили своего супруга?» не спасут, потому как люди часто пишут о своих собаках или кошках и рассказывают истории о том как они встретились с супругом на свадебных сайтах по всей сети.
Веб-разработчикам пора начать задумываться, почему стоить перестать делать восстановление пароля на основе ответов на личные вопросы. Интересно, сколько еще потребуется громких взломов прежде чем люди начнут ненавидеть отсылку на email забытого пароля (Вы ведь знаете почему это плохо, правда?).