A hackerek 10 000 dolláros nyereményt kapnak a StrongWebmail feltöréséért

Ezt a Telesign rámutatta erre a hétre. A hang alapú hitelesítési szoftver szolgáltatója a cég megkérdőjelezte a hackereket, hogy betekinthessenek StrongWebmail.com webhelyére a múlt hét végén. A díj? 10 000 amerikai dollár.

Csütörtökön egy biztonsági kutatócsoport azt állította, hogy megnyerte a versenyt, ami megkérdőjelezte a hackereket, hogy betörjenek a StrongWebmail vezérigazgatója, Darren Berkovitz webes levelezési fiókjába, és jelentést adjanak a június 26-i naptári bejegyzéséről.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A biztonsági tudósok, Lance James és a biztonsági kutatók, Aviv Raff és Mike Bailey által vezetett hackerek a Berkovitz naptárának részleteit adták az IDG News Service-nek. Egy interjúban Berkovitz megerősítette, hogy ezek a részletek a számlájáról származnak.

Berkovitz azonban nem tudta megerősíteni, hogy a hackerek ténylegesen elnyerték a díjat. Azt mondta, ellenőriznie kell, hogy meggyőződjenek arról, hogy a hackerek betartották a verseny szabályait, hozzátéve: "ha valaki megcsinálta volna, akkor a fejünket lehúzzuk" - mondta. bemutatva, hogyan hajtották végre a támadásaikat, de képesek voltak az IDG News Service által létrehozott StrongWebmail-fiókra is. Az IDG-támadás nem működött eredetileg, de sikerült, amikor a Firefox böngészőben a NoScript nevű biztonsági programot letiltották.

"Többféle webhelyen keresztüli támadást találtunk, amelyek lehetővé teszik számunkra, hogy megtámadjanak más felhasználókat." James mondott. "A regisztrált számlához a támadást el kell indítanod."

A StrongWebmail a Telisign telefonos hitelesítési rendszerét használja a webmail felhasználók számára egy másik biztonsági réteghez. A felhasználónévvel és a jelszóval való bejelentkezés helyett az ügyfeleknek be kell írniuk egy titkos kódot, amelyre telefonálni fognak, amikor be akarnak jelentkezni a webhelyre.

A bankok használják ezeket a telefonos hitelesítési kiszolgálókat, hogy segítsenek a gyakran használt számítógépes bűnözők elleni küzdelemben ellopja a felhasználóneveket és jelszavakat az áldozatoktól.

De ez a fajta hitelesítés - amit kétütemű hitelesítésnek neveznek - megakadályozhatja a hackerek a középső támadást használó embert használva. Ebben a támadásban a hacker szoftvere arra vár, hogy a felhasználó jogosan belépjen a webhelyre, majd átveszi. "Csak arra várnak, hogy jelentkezzen be, és mindent megtegyenek, amit csak akarnak" - mondta James. James elmondta, hogy ezek a versenyek szórakoztatóak lehetnek, de nem reális bizonyítékot szolgáltatnak a valódi biztonságra, szabályokat. A StrongWebmail verseny például tiltja a cég bennfentesével való munkát. "A rosszfiú nem törődik a szabályokkal, azt mondta:

A webmail biztonsága az elmúlt évben nagy figyelmet szentelt, szeptemberben a hacker hozzáférést kapott Alaszka kormányzója, Sarah Palin e-mail fiókjához, levelezést az interneten, David Kernell nevű főiskolai hallgatókat terhelték ebben az incidensben.

Berkovitz azt reméli, hogy versenytársa a felhasználóknak - és a webmail-szolgáltatóknak, mint a Google és a Yahoo - a gondolkodásról szól. "Nem azt állítjuk, hogy ez a végső, végső megoldás." De próbáljuk felhívni a figyelmet a felhasználónévre és a jelszóra. "