Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
/ContentUploads/A1002/zuckerberg.jpg

Hogyan törték fel Mark Zuckerberg internetes fiókjait?

2016.06.07. 10.12
Tegnap röppent fel a hír egy újabb biztonsági incidensről, aminek áldozata a világ egyik leghíresebb embere és a technológiai világ egyik legsikeresebb szereplője, Mark Zuckerberg. Szerencse a szerencsétlenségben, hogy ezúttal nem a Facebook rendszerében találtak kihasználható sebezhetőséget, de felhasználói oldalról mindenképpen nagyon súlyos esetről beszélünk.

A történet még 2012-ben kezdődött, amikor kiderült, hogy a LinkedIn vállalati közösségi portál egy nagyon súlyos adatszivárgás áldozatául esett, aminek következtében 6 millió felhasználói azonosító és gyengén kivonatolt jelszó került ki a darknetre. Nem sokkal ezelőtt viszont rájöttek, hogy nem 6 millió jelszóról van szó, hanem több mint 167 millióról – ezzel hatalmas biztonsági botrányba keverve a portált.



Az incidens bemutatásakor mindenkit figyelmeztettünk, hogy bár kivonatolt, tehát nem eredeti formájában és terjedelmében tárolt jelszavakról van szó, elővigyázatosságból mindenki változtassa meg a jelszavát a LinkedInen és azokon a weboldalakon, ahol ugyanazt a jelszót használták. Sajnos Mark Zuckerberg nem olvasta a cikket és meg is lett az eredménye.

A techceleb ugyanis ugyanazt a jelszót használta LinkedInen, Twitteren és Pinteresten is. Ez azt jelenti, hogy ha valamelyik szolgáltatás jelszószivárgásos biztonsági incidensbe keveredik, akkor a másik két szolgáltatásban használt felhasználói fiókja is feltörhetővé válik – optimális esetben, gyengén vagy egyáltalán nem titkosított jelszavakkal.

Ezúttal a LinkedIn került ilyen helyzetbe és tekintettel arra, hogy csupán SHA-1 típusú kivonatolást végeztek, a kiszivárgott jelszavak visszafejtése sem jelentett komoly akadályt a Zuckerberget megtámadó szaudi hackercsapatnak, az OurMine-nak – elég volt megkeresniük a karakterláncot egy kivonat-jelszó párosokat tároló szivárványtáblában, vagy szoftverrel végigpróbálgatni a lehetőségeket.



dadada…



Zuckerberg jelszava ráadásul további gyengeségektől is szenvedett. – Mindig felhívjuk a figyelmeteket arra, hogy erős, számokkal és speciális karakterekkel teletűzdelt jelszavakat használjatok, ugyanis azok kisebb valószínűséggel kerülnek be a fent említett szivárványtáblákba, próbálgatásos támadás esetén pedig nagyon megnehezítik a támadók dolgát, hiszen nem tudhatják, hogy a jelszóban hol és milyen nem-betű karaktereket használtatok. – Ezzel szemben a vezérigazgató úr úgy gondolta, hogy a „dadada” jelszó megfelel a biztonsági követelményeknek.

Az eset ékes példája annak, hogy még a „legnagyobbak” is képesek hatalmas bakikat elkövetni, még akkor is, ha már rég nem használt regisztrációkról szó. Mi ne essünk ebbe a hibába: használjunk komplex (szavak+számok+speciális karakterek) jelszavakat, lehetőleg mindenütt mást és azokat is legalább havonta vagy kéthavonta cseréljük le – Facebookon, Gmailen, Outlookon és PayPalon pedig különösen figyeljünk oda erre!