Głównymi powodami, które doprowadziły do powodzenia ataku na Honana, były odmienne sposoby ochrony danych klientów Apple i Amazon oraz używanie tego samego loginu w różnych miejscach. Atak wyglądał następująco: haker Phobia za pomocą funkcji odzyskiwania hasła Gmail zdobył drugi adres e-mail ofiary (Google podało mu nazwę domeny oraz pierwszą i ostatnią literę loginu, który był identyczny jak w Gmailu), a dzięki sprawdzeniu jej strony poprzez Whois udało mu się odczytać dane adresowe Honana. Potem Phobia zadzwonił do obsługi portalu Amazon, przedstawił się jako swoja ofiara i podał login (znów ten sam) wraz ze zdobytymi informacjami. To wystarczyło do uwierzytelnienia i dodania fałszywej karty kredytowej. Następnie Phobia rozłączył się i zadzwonił raz jeszcze do Amazon, tym razem twierdząc, że utracił dostęp do konta. Po ponownym podaniu tych samych informacji (włącznie z fałszywym numerem karty), obsługa przypisała konto do nowego adresu e-mail. Dalej poszło jak z płatka: Phobia zresetował hasło, a po zalogowaniu się do sklepu zdobył cztery ostatnie cyfry prawdziwej karty kredytowej Honana. Potem zadzwonił do Apple, które wymaga m.in. wspomnianych czterech cyfr, podał wykradzione dane i przejął konto AppleID.
Czy jednak faktycznie zawiniły tu serwisy? Moim zdaniem niezupełnie, bo Honan udostępnił zbyt wiele informacji o sobie. Wystarczyłoby używanie różnych loginów, by cały atak spalił na panewce. Phobia jednak pokazał ważną rzecz: zbyt łatwo można w internecie zdobyć poufne dane użytkowników. Te zaś wystarczają do tego, by przejąć kontrolę nad przynajmniej częścią wirtualnego dorobku. Największym zaś zagrożeniem jest nasza własna wiara w to, że jesteśmy bezpieczni.
Żeby zapobiec takim sytuacjom, firmy stosują różne wybiegi. Najłatwiejszym jest oczywiście odpowiedź na sekretne pytanie, bez której nawet odzyskanie hasła może być niemożliwe. O wiele skuteczniejszym narzędziem wydaje się być token, który generuje tymczasowe, jednorazowe hasła. Tylko że i tu rodzi się problem – albo trzeba takie urządzenie kupić (co jednak kosztuje), albo wybrać jego mobilną wersję. Takie zabezpieczenie stosuje m.in. Blizzard, który stworzył odpowiednią aplikację dla Androida i iOS. Sęk w tym, że w przypadku utraty tokena – w moim przypadku była to paskudna awaria telefonu, która skończyła się wgrywaniem softu na nowo – musimy wysłać do firmy skan dowodu osobistego. I strach pomyśleć, do czego mógłby zostać wykorzystany w sytuacji przechwycenia wiadomości.
Nie ma co się oszukiwać – bezpieczeństwo w sieci to fikcja, podobnie jak ochrona danych osobowych. Istotna jest więc świadomość zagrożenia i podejmowanie kroków, które pozwolą je ograniczyć. W innym przypadku utrata danych może być bardzo bolesna...
