Na povrch vyplouvají informace o tom, jak se podařilo hacknout Twitter. Zajímavých věcí je tam více, třeba věk útočníků, který se podle nytimes.com pohybuje okolo dvacítky, ale spíše pod ní.
O tom ostatně vypovídá i způsob, jak útočníci využili získaný přístup. Dostali do rukou odjištěnou jadernou bombu a oni se s ní rozhodli vykrást vesnickou pobočku pošty. Jejich výzva na posílání bitcoinů s vidinou dvojnásobného zhodnocení je asi tak inovativní jako nigerijský spam z doby kolem roku 2000.
Představte si třeba, že jménem Elona Muska a Billa Gatese dohromady oznámíte, že investují peníze do firmy XYZ, jejíž budoucí produkt změní způsob, jakým používáme počítače. Dokážete si představit, co by pak udělala cena jejich akcií a jak by se toho dalo využít? A další podobné věci – ničení konkurence a tak dále. Sami hackeři ostatně přiznávají, že jejich počin nevyžadoval žádné vysoce specializované dovednosti, ale spíše kombinaci sociálního inženýrství s pochopením procesů uvnitř firmy.
Klíčovým bodem pak bylo zcizení přístupových údajů pracovníků a „únos SIM“ (SIM Hijack). Jak to funguje? Představte si, že večer zmizí z vašeho mobilního telefonu logo operátora. Obvykle jste už unavení, abyste to řešili a čekáte, že výpadek vyřeší brzy sám. Ráno ale nejenže nefunguje telefon, ale nedostanete se do e-mailu a dalších služeb.
Hrozivě jednoduché
Provést něco takového přitom není vůbec nic složité. Stačí nějak operátora přesvědčit, že jste například ztratili telefon a potřebujete novou SIM se stejným číslem. Možností je spousta: někdy stačí jen pár osobních informací, zfalšované doklady, úplatky… Jakmile máte SIM s číslem, můžete ji použít k resetování hesla dalších služeb a tak dále.
Zkuste sami zapátrat v paměti, u kolika služeb máte jako „druhý faktor“ právě SMS. Dobrou zprávou je,že tento způsob útoku je poměrně složitý, a tak se využívá spíše u vysoce postavených a zájmových osob, které ale obvykle používají sofistikovanější metody zabezpečení. Alespoň teoreticky.
Nicméně z mnoha dalších důvodů platí, že SMS jsou reliktem 20. století. A v oblasti zabezpečení to platí dvojnásob.
