Yahoo čelilo ešte v roku 2014 jednému z najmasívnejších hackerských útokov vôbec. Útočníkom sa vtedy podarilo ukradnúť dáta z približne 500 miliónov účtov. Ako to dokázali?
Denník The Washington Post včera na svojom webe informoval, že Americké ministerstvo spravodlivosti sa chystá v súvislosti s útokmi obviniť dvoch ruských agentov FSB a dvoch hackerov, ktorých si rusi údajne najali. Obvinení majú byť kvôli hackerským a podvodným útokom na webe, krádeži obchodného tajomstva a ekonomickej špionáži.
Ako sa dá hacknúť účet bez hesla?
Môžu za to tzv. cookies súbory. Cookies sú dáta, ktoré ukladá web stránka alebo aplikácia potom, čo ju používateľ navštívi. Ich cieľom je zapamätať si vaše aktivity a tiež rozpoznať konkrétneho používateľa. Vďaka cookies si môže akákoľvek web stránka zapamätať používaný jazyk, preferované produkty, alebo menu, ktorou ste platili v e–shope. Najdôležitejšie z pohľadu spomínaného útoku je, že pomocou cookies si môže stránka pamätať prihlásenie konkrétneho používateľa. Väčšina z nás sa chce prihlásiť do svojho mailového účtu čo najrýchlejšie a najjednoduchšie a preto zaklikne možnosť „zapamätať prihlásenie“ či „neodhlasovať“. Použitý prehliadač si vďaka cookies súborom túto voľbu zapamätá a pri ďalšej návšteve danej stránky už prihlasovacie údaje nevyžaduje.
Kľúčom bolo získanie zdrojového kódu
Obvineným hackerom sa pred útokmi podarilo ukradnúť časť zdrojového kódu zo služby Yahoo. Keďže vďaka nemu boli schopní pochopiť presný algoritmus generovania cookies, boli na pol ceste k odcudzeniu dát. Stačilo im už len vytvoriť vytvoriť a použiť falošný cookies súbor, ktorý Yahoo vyhodnotil ako opätovné prihlásenie používateľa k serveru. Server vyhodnotil tento spôsob autentifikácie ako oprávnený a útočníci tak dostali prístup k celému účtu bez toho, aby potrebovali dešifrovať heslo.
Pomocou tejto metódy sa hackeri cielene nabúrali do 6 500 účtov, zahŕňajúcich ruských novinárov a politikov. Ďalších 30 miliónov účtov zneužili na rozličné spamové kampane za účelom zvýšenia celkového zisku tohto nevídaného útoku.
Zdroj: Business Insider
