Jak programista stracił dostęp do swoich kont mimo 2FA i silnych haseł

dodał 4 marca 2015 o 21:18 w kategorii Prywatność, Włamania  z tagami:
Jak programista stracił dostęp do swoich kont mimo 2FA i silnych haseł

Pewien programista w ciągu jednej nocy stracił dostęp do swoich dwóch głównych kont pocztowych, Twittera i 10 BTC trzymanych w internetowym serwisie. Doszło do tego mimo dwuskładnikowego uwierzytelnienia. Jak było to możliwe?

Ktoś zhakował konta Partapa Davisa. Partap jako programista był świadomy zagrożeń czyhających w sieci. Konto Gmaila zabezpieczył dwuskładnikowym uwierzytelnieniem, podobnie jak konta na giełdach BTC, wszędzie stosował silne hasła i nie klikał w przypadkowe linki. Mimo tego padł ofiarą dość skutecznego włamania, a przyczyną była zapewne tylko jedna luka.

Tyle zabezpieczeń na nic

U źródeł problemów Partapa leżał fakt, że zbyt późno zdecydował się założyć konto na Gmailu. Jego login partap był już zajęty. Z tego powodu założył konto w serwisie mail.com i po prostu włączył przekierowanie do konta Gmaila o nieco bardziej skomplikowanym loginie. Zastosował przy tym przyzwoite ustawienia bezpieczeństwa – a tak przynajmniej mu się wydawało. Każde logowanie z nowego komputera wymagało podania sześciocyfrowego kodu, wysyłanego SMSem na jego komórkę. Konta w serwisach Coinbase, Bitstamp i BTC-E zabezpieczył silnymi hasłami a dodatkowo w Coinbase oraz BTC-E także użył dwuskładnikowego uwierzytelnienia – tym razem w oparciu o aplikację Authy.

Gdy obudził się 21 października 2014 zauważył, że jego sesja Gmaila została wylogowana i nie mógł zalogować się ponownie. Wkrótce odkrył, że ktoś włamał się na jego skrzynki pocztowej, konta Twittera i kont na giełdach BTC. Poświęcił wiele czasu, by odkryć, jak do tego doszło – a i tak ciągle jeszcze nie poznał całej prawdy.

Krok po kroku

Atak zaczął się do konta w serwisie mail.com. Nie mamy pewności, jak dostał się do niego atakujący. Jest spora szansa, ze skorzystał z oferowanej w tamtym czasie w serwisie HackForums.net usługi resetu hasła mail.com. Ktoś odkrył lukę w procesie ustawiania nowego hasła i za 5 dolarów oferował możliwość przejęcia dowolnego konta. Tak złodziej mógł zdobyć dostęp do skrzynki Partapa i zapoznać się z całą jego korespondencją.

Kolejnym krokiem złodzieja było przekonanie AT&T, operatora komórkowego Partapa, do przekierowania jego połączeń na jednorazowy numer telefonu na Florydzie. Co prawda złodziej nie znał hasła abonenckiego Partapa, ale przekonał obsługę z AT&T by wysłała emaila resetującego hasło na skrzynkę partap@mail.com. W ten sposób złodziej uzyskał możliwość odbierania telefonów Partapa (tylko połączeń telefonicznych – SMSów nie da się w ten sposób przejąć).

Złodziej następnie przejął konto Partapa na Gmailu. Jak ominął dwuskładnikowe uwierzytelnienie oparte o kod wysyłany w wiadomości SMS? Bardzo prosto. Google oferuje „obejście” kodu SMS dla osób, które nie mogą go odczytać. W procesie uzyskiwania hasła jednorazowego można poprosić, by zadzwonił do nas automat, który je odczyta. Złodziej odebrał połączenie dzięki przekierowanemu numerowi i przejął konto Gmaila. W identyczny sposób przejął również konto Authy – tam też kod da się odsłuchać przez telefon.

Coinbase było kolejnym celem ataku. Posiadając dostęp do skrzynki partap@mail.com oraz kody jednorazowe z aplikacji Authy atakujący przelał 10 BTC na inne, kontrolowane przez siebie konto i szybko je wypłacił. W ciągu półtorej godziny od włamania na skrzynkę w serwisie mail.com bitcoiny Partapa zmieniły właściciela.

Struktura przejętych kont

Struktura przejętych kont

Nie wszystko się udało

Atakujący przejął jeszcze konto Twittera, ale BTC-E i Bitstamp dzielnie odparły atak. BTC-E zablokowało konto na 48 godzin po zmianie hasła, a z kolei Bitstamp żądał dodatkowego, zapasowego hasła przy próbie przejęcia konta. W ten sposób Partap uratował przynajmniej część bitcoinów.

O złodzieju wiadomo tylko tyle, że łączył się z adresów IP znajdujących się w Kanadzie. Czemu ofiarą został akurat Partap? Trudno powiedzieć, być może jego adres email wyciekł wraz z bazą użytkowników jakiegoś serwisu związanego z BTC. Nie udało się tego potwierdzić.

Nauczka na przyszłość

Z przygód Partapa można wyciągnąć kilka wniosków. Po pierwsze warto mechanizm dwuskładnikowego uwierzytelnienia za pomocą wiadomości SMS zamienić na dedykowaną aplikację, której kod jest dużo trudniejszy do przejęcia. Po drugie warto jako swoje konto podstawowe ustawić usługę któregoś z renomowanych dostawców, zapewniających odpowiedni poziom bezpieczeństwa. Po trzecie, na miłość boską, nie trzymajcie BTC w internetach.

Jeśli lubicie czytać o takich przypadkach, to polecamy: