Nolo alku "turvasähköpostille" – murrettiin heti
0
Yhdysvaltalainen yritys kehitti uudenlaisen turvallisen sähköpostin. Palvelua markkinoitiin tempauksella, jossa postitilin murtajalle luvattiin 10 000 dollarin palkinto. Tempaus sai nolon lopun, kun tili ilmeisesti murrettiin vain parin päivän jälkeen. Tapaus muistuttaa perinteisestä tietoturvan ongelmasta: ovi on kiinni monella lukolla, mutta ikkuna on auki.
Strongwebmail-palvelun idea on se, että käyttäjien tilejä suojataan paremmin kuin vain käyttäjätunnuksella ja salasanalla. Näiden lisäksi vaaditaan puhelintunnistus, jonka pitäisi pysäyttää hakkerit.
Palvelu hankki julkisuutta kampanjalla, jossa toimitusjohtajan postitilin murtaja saisi 10 000 dollaria (reilut 7000 euroa). Tätä helpotettiin siten, että murtajille annettiin postitilin käyttäjätunnus ja salasana. Palvelu uskoi, että puhelinvarmennus pitäisi hakkerit joka tapauksessa poissa.
Ovi tuplalukossa – ikkunasta sisään
Tietoturvayhtiö Kasperskyn asiantuntija Ryan Naraine kertoo, että hakkerikolmikko mursi parin päivän sisällä postitilin. Tähän he käyttivät nettisivujen perinteistä ongelmaa, xss-turva-aukkoa.
Kolmikko lähetti toimitusjohtajan tilille sähköpostin, jossa oli xss- eli cross-site-scripting-hyökkäys. Kun viesti avattiin, hyökkääjät saivat postitilin haltuunsa.
Narainen mukaan Strongwebmail ei ole ole vielä vahvistanut virallisesti, että murto on onnistunut sääntöjen mukaisesti. Toimitusjohtajan kerrotaan kuitenkin vahvistaneen, että tilin sisältöä on saatu selville.
