Jak zhakowano konto Gmail z 2FA

dodał 5 listopada 2014 o 16:45 w kategorii Drobiazgi, Prywatność, Włamania  z tagami:

Ciekawą historię zhakowanego własnego konta Gmail opowiedział programista Grant Blakeman. Włamywaczowi chodziło tylko o konto na Instagramie o nazwie „gb” – najwyraźniej krótkie loginy ciągle są na topie giełdy próżności. Historia ciekawa, ponieważ Grant miał włączone dwuskładnikowe uwierzytelnienie w Google oparte o kody SMS. Śledztwo wykazało, że atakującemu udało się przekonać obsługę klienta sieci komórkowej, której Grant był klientem, by przekierowała połączenia jego telefonu na inny numer. W ten sposób atakujący uzyskał dostęp do jednorazowego kodu, umożliwiającego przejęcie konta w procedurze odzyskiwania hasła. Rekomendujemy lekturę całej historii.

Lepsze będą kody generowane w aplikacji

Lepsze będą kody generowane w aplikacji

Główne morały z historii:

  • ze swoimi ważnymi kontami skojarzcie niezbyt oczywiste konto pocztowe (imię.nazwisko@gmail.com jest zbyt trywialne do odgadnięcia)
  • miejcie nadzieję, że Wasz dostawca usługi telefonicznej stanie na wysokości zadania
  • lub przejdźcie na kody generowane w dedykowanej aplikacji

Jakieś inne pomysły?