Zuchwała kradzież z pakietu biurowego Google. Haker przejął 120 000 USD

Zuchwała kradzież z pakietu biurowego Google. Haker przejął 120 000 USD12.03.2023 19:56
Zuchwała kradzież z Google Docs
Źródło zdjęć: © Licencjodawca

Haker wykorzystał arkusz kalkulacyjny Google do przejęcia kwoty o równowartości 120 000 dolarów. Ofiarą padła społeczność PeopleDAO, która posługuje się Google Docs do zlecania wypłat członkom swojej organizacji. Jak to możliwe, że tak duża kwota została przejęta za pomocą kilku kliknięć?

Informacje o kradzieży pochodzą od ofiary. Organizacja PeopleDAO, która straciła olbrzymią kwotę, opublikowała swoją historię na Twitterze. Wynika z niej, że haker uczciwością nie grzeszy, ale ofiara nie zrobiła wiele, żeby się przed nim ustrzec. Do tego stopnia, że trudno mówić o włamaniu.

Jak doszło do kradzieży 120 000 dolarów przez Google Docs?

PeopleDAO publikuje co miesiąc formularz z listą wypłat dla członków swojej społeczności. Wykorzystuje do tego arkusz kalkulacyjny Google, do którego link jest umieszczany na publicznym kanale Discord. Haker użył właśnie tej drogi i zdobył dostęp do edycji dokumentu. To wystarczyło, żeby zmusić ofiarę do wypłaty ogromnej kwoty.

Dalsza część artykułu pod materiałem wideo

Kamera solarna z akumulatorem w super cenie – recenzja Foscam B4

Krytycznym dla poszkodowanego okazało się nieostrożne zarządzanie onlineowym dokumentem. Link kierujący do Google Docs nie wymagał hasła. Na dodatek arkusz kalkulacyjny nie został nawet zabezpieczony przed edycją. Otworzenie go wystarczyło hakerowi, żeby móc dopisać swoje dane do listy wypłat. W ten sposób zamówił 76 ETH (równowartość 120 000 dolarów), które sumiennie mu dostarczono.

Według relacji PeopleDAO dokument został sprawdzony przed zleceniem wypłaty. Przeoczono nieprawidłowość tylko dlatego, że wiersz z danymi hakera został ukryty w arkuszu kalkulacyjnym.

Ukryty wiersz w arkuszu kalkulacyjnym Google, Źródło zdjęć: © Titter | @The_PeopleDAO
Ukryty wiersz w arkuszu kalkulacyjnym Google
Źródło zdjęć: © Titter | @The_PeopleDAO

Widoczny stał się dopiero po eksporcie do pliku CSV, którym posługiwała się osoba wykonująca wypłaty.

Podgląd pliku CSV z widocznym rekordem wypłaty dla hakera, Źródło zdjęć: © Twitter | @The_PeopleDAO
Podgląd pliku CSV z widocznym rekordem wypłaty dla hakera
Źródło zdjęć: © Twitter | @The_PeopleDAO

Niezgodności na tym etapie już nikt nie sprawdził, a środki zostały przesłane. Kiedy nieprawidłowość wyszła na jaw, po hakerze ślad zaginął.

Dlaczego haker może pozostać nieuchwytny?

W internecie łatwo o anonimowość, ale drogę przepływu pieniędzy można śledzić. W tym przypadku nie będzie to jednak proste, ponieważ chodzi o kryptowaluty. Udało się ustalić, że środki wypłacone przez PeopleDAO, zostały zdeponowane na dwóch giełdach: HitBTC oraz Binance.

Hakerowi wystarczy jednak rozsądne zarządzanie swoim portfelem krypotowalutowym, żeby pozostać nieuchwytnym. PeopeDAO zgłosiło sprawę FBI, ale jest skłonne się z tego wycofać, jeśli haker zwróci przejęte środki. W takiej sytuacji spryciarz może też liczyć na gratyfikację w wysokości 10% skradzionej kwoty. Na reakcję ma czas do poniedziałku 13. marca. 

Akcja niczym z kinowego hitu. Skradzione miliardy odnalezione w popcornie

Katarzyna Rutkowska, dziennikarka dobreprogramy.pl

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na