• Главная
    • /
  • Блог
    • /
  • Як зламали пошту і твіттер Навального? думка експертів

Як зламали пошту і твіттер Навального? думка експертів

  1. Олександр Наваліхін, дослідний центр Positive Research
  2. Олег Шабуров, керівник групи інформаційної безпеки Symantec

В ніч з 25 на 26 червня 2012 року твіттер опозиційного діяча Олексія Навального круто змінив стиль, почав звучати нецензурно і з відчутним акцентом, властивим шанувальникам udaff.com. Що серед ночі сталося з політиком, зрозуміти нескладно: його твіттер зламали. Інформація про користувача змінилася на "Шахрай і злодій Олексій Навальний 2.0", а слідом йшло посилання на блог хакера, відомого в рунеті під псевдонімом Hell.

0, а слідом йшло посилання на блог хакера, відомого в рунеті під псевдонімом Hell

Цілий день Хелл розважався тим, що віщав через @navalny . Увечері того ж дня аккаунт повернувся до Олексія Навального - допомогло звернення в технічну підтримку Google. Хелл на той час уже давав інтерв'ю газеті "Известия" і розповідав про свої подвиги - як недавніх, так і давніх.

Блог Хелл "Іноді злом відбувається за одну годину, іноді за десять хвилин, а іноді і тижні забирає. Цей злам безпосередньо був дуже складним ", - повідомив Хелл" Известиям "і додав, що раніше вже зламував аккаунт Навального на Gmail. Він викачав весь вміст пошти опозиціонера і обіцяє опублікувати його після того, як ознайомиться з ним сам.

Злом твіттера Навального почався, як водиться, з злому поштової скриньки. Захопивши контроль над електронною поштою, вдалося роздобути і Twitter. Оскільки Навальний не міг повернути пошту без звернення до Google, а аккаунт був (за твердженням Навального) прив'язаний до номера мобільного телефону, складається враження, що Хеллу якимось чином вдалося подолати захист двухфакторной авторизацією - ту саму прив'язку до телефону.

Оскільки Навальний не міг повернути пошту без звернення до Google, а аккаунт був (за твердженням Навального) прив'язаний до номера мобільного телефону, складається враження, що Хеллу якимось чином вдалося подолати захист двухфакторной авторизацією - ту саму прив'язку до телефону

Можливе й інше пояснення події. І комп'ютер, і телефон Олексія Навального 11 червня 2012 року було вилучено Слідчим комітетом в ході розслідування справи про заворушення на Болотній площі. Навальний вбачає між вилученням і заявою, поданою через пару тижнів зломом зв'язок.

Що ж відбулося насправді? За коментарями ми звернулися до фахівців з комп'ютерної безпеки.

Олександр Наваліхін, дослідний центр Positive Research

Коли використовується двофакторна аутентифікація з прив'язкою до телефону, то отримати доступ до аккаунту досить складно. Якщо, звичайно, у вас в руках немає того телефону, до якого прив'язана обліковий запис.

Можна спробувати відновити пароль за допомогою спеціальної форми відновлення, проте розгляд заявки займає від трьох до п'яти робочих днів. Щоб, обробивши заявку, вам надали доступ до чужої пошти, потрібно зібрати дуже багато достовірної інформації (номер телефону, до якого прив'язаний Google-аккаунт, і інші персональні дані). Однак як тільки відправляється заявка на відновлення, на всі додаткові поштові скриньки, пов'язані з членством, приходять листи з попередженням про спробу відновлення. Плюс до всього за допомогою цих листів можна перервати процес відновлення - досить просто відповісти хоча б на одне з них.

Аккаунт в Twitter також може бути прив'язаний до телефону і поштою. Тому якщо отримати доступ до пошти або телефону, то можна, теоретично, отримати доступ і до аккаунту у Twitter.

Інший вектор атаки - для входу в пошту отримати доступ до комп'ютера, який є довіреною (протягом тридцяти днів). У цьому випадку немає необхідності відправляти тимчасовий код на прив'язаний телефон. Доступ може бути як і фізичним, так і віддаленим. Не варто забувати, що багато користувачів дозволяють браузерам зберігати паролі, щоб не вводити їх кілька разів на день.

Не варто також забувати, що в великих інтернет-сервісах періодично виявляються вразливості. Тому цей вектор атаки теж не варто виключати.

Олег Шабуров, керівник групи інформаційної безпеки Symantec

Злом міг бути здійснений декількома способами, могли бути використані:

1. Технічні методи (так як той же шкідливе ПО, наприклад Flamer, може перехоплювати повідомлення і передавати зловмисникам).

2. Методи соціальної інженерії (це куди більш імовірно). Адресату могло прийти лист про необхідність зміни пароля. Прийти воно могло від зловмисників із запрошенням на підроблений сайт. Отримані з цього сайту облікові дані і паролі можуть бути використані для отримання доступу до поштової скриньки.

3. Чи може бути просто недбалість: залишений незаблокованим комп'ютер або на секунду залишений мобільний телефон .... Хто не скористається такою нагодою?

Що ж відбулося насправді?
Хто не скористається такою нагодою?