Dziennikarz Wall Street Journal opublikował swoje hasło do konta Twittera, by udowodnić, że „hasła są martwe”, ponieważ korzysta z dwuskładnikowego uwierzytelnienia. Już żałuje swojego kroku, bo musi teraz zmienić numer telefonu…
Historia wiele razy pokazała, że twierdzenie „nie dacie rady tego zhakować” z reguły kończy się dowodem, że tak twierdzący nie miał racji. Niektórzy jednak nie uczą się na cudzych błędach i muszą popełniać swoje własne.
Oto moje hasło
Wczoraj Christopher Mims opublikował artykuł pod tytułem Hasła umierają, oto moje. Twierdził w nim, że hasła nie mają przyszłości, ponieważ systemy dwuskładnikowego uwierzytelnienia szybko je zastąpią. Postanowił odważnie udowodnić, że ma rację, publikując swoje hasło do konta Twittera, będącego jednym z jego podstawowych narzędzi pracy. Hasło brzmiało christophermims. Na efekt swojej głupoty nie musiał długo czekać.
Skutki publikacji
Jak możecie się pewnie domyślić, praktycznie natychmiast po opublikowaniu tekstu dziennikarz zaczął dostawać SMSy z kodem weryfikującym logowania do swojego konta. Przychodziły one z częstotliwością około dwóch na minutę. Musiało to być trochę uciążliwe, zatem dziennikarz postanowił przełączyć uwierzytelnienie z kodów SMS na kody otrzymywane przez specjalną aplikację na telefon. Co prawda teraz domyślnie kody przychodziły do aplikacji, ale na stronie pojawiła się możliwość wyboru, czy jednak nie wysyłać kodów na telefon. Co więcej, Twitter w pytaniu podawał pełen numer telefonu dziennikarza.
Telefon musiał szybko wyłączyć, zapewne ze względu na liczne wyrazy uwielbienia, które do niego docierały od zainteresowanych całą sprawą internautów. Z jednej strony można oczekiwać, że Twitter nie będzie podawał pełnego numeru telefonu – ale z drugiej podaje go przecież tylko użytkownikowi, który zna prawidłowy login i hasło danego konta. Sam dziennikarz najwyraźniej nie przewidział skutków swojej brawury. Pouczony przez koleżankę po fachu przyznał, że było to z jego strony głupie posunięcie.
Nie on pierwszy ani pewnie ostatni
Historia zna już podobne przypadki, które nie kończyły się sukcesem. Jeremy Clarkson, prowadzący program Top Gear, opublikował kiedyś w gazecie swój numer rachunku bankowego, by udowodnić, że wyciek 2,5 mln numerów rachunków jest rozdmuchaną aferą. Szybko przekonał się, że był to zły pomysł, po tym, jak ktoś ustanowił w jego imieniu stałe zlecenie na kwotę 500 funtów na rzecz organizacji charytatywnej.
Jeszcze bardziej spektakularną wpadkę (a nawet 13) zaliczył prezes firmy Lifelock, który reklamował swoje produkty ochrony tożsamości. Twierdził on, że wykupienie abonamentu w jego firmie chroni klienta przed kradzieżą tożsamości, a aby to udowodnić publikował w reklamach swój własny numer identyfikacyjny (social security number). Szybko został jednak ośmieszony, ponieważ jego tożsamość została skradziona co najmniej 13 razy by dokonać wszelkiego rodzaju nadużyć. Na koniec dostał jeszcze nagrodę specjalną – karę 12 milionów dolarów za nierzetelną reklamę.
Z powyższych doświadczeń płynie prosta nauka – ze swoją prywatnością lepiej nie szarżować.
Komentarze
I niby czego pożałował? Nikt mu się nie włamał na konto więc udowodnił swoje…czytam tak ten artykuł i czekam tylko gdzie będzie wspomniane że mu włamali się na konto, a tu nic…
Czegoś tutaj jednak nie rozumiem. Koniec końców konto Twitter tego pana nie zostało skompromitowane.
Jedyne co się stało to ujawnienie jego nr. telefonu i sms bomba, która sprawiła, że musiał go wyłączyć.
Czy dobrze to zrozumiałem?
„skompromitowane”
Proszę nie Koniecznować na tym portalu.
Ojtam, nie chciałem pisać „shackowane” bo to jakoś dziwnie brzmi.
może dlatego, że słowo brzmi „zhakowany”?
Ten pan SAM SIEBIE skompromitował ale jego konto jednak nie zostało PRZEJĘTE. O kompromitacji mówimy w przypadku osoby. O przejęciu, włamaniu, przełamaniu zabezpieczeń lub o działaniach hakerskich mówimy wtedy, gdy mamy na myśli naruszenie reguł bezpieczeństwa. Bardzo nie lubię tej amerykańskiej pseudokalki.
radmen – zadzwoń do niego i sam sprawdź, a nie sorry przecież musiał zmienić nr. telefonu i wszystkie dwuskładnikowe uwierzytelniania też ;D
No dobra, jednak nie stracił z tego powodu dostępu do swoich kont.
Racja! Zdenerwowany nie znaczy skompromitowany…
Czemu nie zrobią jak Microsoft – zanim wyślą SMS z kodem weryfikacyjnym, ty musisz podać 4 ostatnie cyfry swojego numeru telefonu. Dzięki temu mykowi pan dziennikarz nie miałby spamu :)
Niekoniecznie by nie miał. Wszystko zależy od tego, jakie są dodatkowe zabezpieczenia. Jeśli to po prostu „podaj ostatnie 4 cyfry”, bez żadnego opóźnienia, limitu prób, captchy i na dodatek informujące, czy wystąpił błąd, czy nie, to nie zmienia to zupełnie nic. Jeśli są jakieś dodatki, ale informuje, czy SMS został wysłany, to zmienia bardzo niewiele.
Cóż, uwierzytelnianie dwuskładnikowe ma sens, ponieważ ma dwa składniki. Niszczenie jednego z nich to głupi ruch, nawet jeśli tym razem nie został shakowany a tylko zdenerwowany.
zhakowany
„Z jednej strony można oczekiwać, że Twitter nie będzie podawał pełnego numeru telefonu – ale z drugiej podaje go przecież tylko użytkownikowi, który zna prawidłowy login i hasło danego konta.”
Nie zgodzę się. IMO ewidentny błąd Twittera. Login nie jest żadnym zabezpieczeniem, bo jest publicznie znany. Podawanie danych osobowych nieuwierzytelnionej osobie jest błędem. Czemu nieuwierzytelnionej, skoro zna hasło? Bo nie przeszła pełnego procesu uwierzytelnienia. To trochę tak, jakby bank przy włączonym uwierzytelnianiu dwuskładnikowym, po podaniu samego hasła nie pozwalał robić przelewów, ale pozwalał na podgląd stanu konta i historii transakcji. Mogli podać 2-3 ostatnie cyfry numeru – właścicielowi wystarczy do rozpoznania o który numer chodzi, w przypadku wycieku hasła atakującemu nic nie daje.
Bardzo ciekawe, że można obciążyć czyjeś konto w Wielkiej Brytanii zleceniem stałym znając tylko nr rachunku „ofiary” i bez jej zgody na takie obciążeni. Coś pismak pokręcił.
Być może potrzebne były także inne dane, które dało się łatwo uzyskać z sieci.
No właśnie, a ja sobie postawiłem stronkę na webwave i nikt, odpukać jej nie zhakował:P