Operacja Hakerazzi, czyli o hakerach i głupich pytaniach

Amerykańskie Federalne Biuro Śledcze z dumą i wielką pompą ogłosiło, że udało mu się złapać niejakiego Christophera Chaney'a - faceta, który w ciągu ostatnich kilku miesięcy włamywał się do skrzynek pocztowych najróżniejszych gwiazd i gwiazdeczek. Sprawa ciekawa jest o tyle, że Chaney'a ujawnił dość specyficzny problem współczesnych systemów zabezpieczających konta pocztowe.

O całej tej historii zrobiło się głośno kilka tygodni temu, gdy w Sieci opublikowano zdjęcia Scarlett Johansson w negliżu - jak się okazało, zostały one skradzione z jej konta pocztowego. FBI potraktowało sprawę z podziwu godną powagą, dzięki czemu wczoraj na wielkiej konferencji agenci z dumą poinformowali, że złapali zbrodniarza i wsadzą go do więzienia może nawet na 121 lat. (Dla jasności: nie lekceważę przestępstwa - takie drastyczne naruszenie prywatności to poważna sprawa, ale mimo wszystko wiek pierdla z okładem wydaje się pewną przesadą.)

Przy okazji okazało się, że 35-letni Christopher Chaney włamał się do skrzynek w sumie ok. 50 amerykańskich celebrytów i w każdym przypadku ustawił przesyłanie kopii wszystkich wiadomości na własny adres. Dzięki temu miał stały dostęp do informacji o gwiazdach i skwapliwie z tego korzystał, sprzedając sensacje najróżniejszym brukowcom.

Najciekawsze w tym wszystkim jest to, jak Chaney uzyskiwał dostęp do skrzynek celebrytów. W komunikacie FBI napisano, że robił to korzystając z "dostępnych publicznie informacji", a na konferencji prasowej sprecyzowano, że chodziło o resetowanie haseł dostępu do kont. Innymi słowy: "haker" znajdował adres e-mail wybranej osoby, wchodził na stronę dostawcy konta, wpisywał adres i wybierał opcję "Nie pamiętam hasła". Wtedy wyświetlało się pytanie pomocnicze... i tu był pies pogrzebany.

System resetowania hasła na podstawie odpowiedzi na predefiniowane pytanie od zawsze wydawał mi się mocno kulawy - szczególnie w przypadku serwisów, które same narzucały pytania (w stylu: jak nazywała się twoja nauczycielka matematyki z 2. klasy, jak miał na imię ukochany psiak? Itp.). Problem polega na tym, że w większości przypadków właściciel konta nie jest jedyną osobą, która zna poprawną odpowiedź.

Okazuje się jednak, że ten problem w przypadku celebrytów jest znacznie poważniejszy - bo na ich temat można w Sieci znaleźć tony informacji i o ile pytanie nie jest jakoś szczególnie przemyślane, to ze znalezieniem odpowiedzi nie ma większych problemów. Czego dowodem jest sprawa Chaney'a - bo jeśli ktoś w kilka miesięcy zdołał uzyskać w ten sposób dostęp do skrzynek 50 "gwiazd", to znaczy, że coś jest na rzeczy...

A to znaczy, że dostawcy najróżniejszych usług wymagających logowania powinni dawno już zrezygnować z mechanizmu odzyskiwania haseł opierającego się na pytaniach i odpowiedziach. Tym razem padło na Scarlett Johansson i jej nagie fotki, ale przecież większość z nas udostępnia w Sieci coraz więcej informacji osobistych. Pozornie niegroźnych i pozornie nieprzydatnych dla innych, ale głowę dam, że przeglądając publiczne profile na NK czy Facebooku można bez większego problemu znaleźć odpowiedzi umożliwiające uzyskanie dostępu do kont tysięcy internautów...