Zerowanie haseł na celowniku hakerów

Na konferencji IEEE Symposium on Security and Privacy (maj 2017) naukowcy z Izraela (College of Management Academic Studies) zaprezentowali dokument noszący tytuł “The Password Reset MitM Attack” w którym udowadniają, że stosowana powszechnie metoda zerowania haseł jest niebezpieczna i pozwala hakerom przechwytywać poufne dane i włamywać się do komputerów.

Naukowcy nadali opracowanej przez siebie technice włamywania się do komputerów nazwę Password Reset Man-in-the-Middle (PRMitM). Poinformowali też, że atak taki może przeprowadzić nawet początkujący, niedoświadczony haker. Ostrzegają przy tym, że szczególnie podatne na tego rodzaju włamania są serwery firmy Google.

Mechanizmy zerowania haseł użytkowników stosowane przez innych dostawców usług internetowych (w tym tak znanych, jak Facebook, Yahoo, LinkedIn, Yandex, Whatsapp, Snapchat i Telegram) zawierają również podobne – chociaż nie tak ewidentne - błędy.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach
  • Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła

Aby przeprowadzić atak, haker buduje najpierw witrynę oferującą użytkownikom jakąś bezpłatną usługę lub oprogramowanie. Witryna taka żąda na samym początku od użytkownika, aby ten zarejestrował się. Użytkownik podaje wtedy oczywiście różne informacje, ale najważniejsza to adres e-mail. I w tym właśnie momencie haker może zainicjować atak.

Znając dostawcę usługi pocztowej z której korzysta użytkownik oraz adres obsługującego ją serwera, haker wymusza na nim uruchomienie w odniesieniu do danego użytkownika procesu „forgot my password”, przechwytując wtedy wszystkie dane jakie wymienia on z pocztowym serwerem. Operacja taka wiąże się oczywiście z zerowaniem hasła i podaniem nowego, które haker od razu przechwytuje, ponieważ zainstalował się jako „man-in-the-middle”.

Cały mechanizm ataku Password Reset MitM opisany jest dokładnie tutaj.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200