Jak spolu souvisí hack celebrit a zabezpečení Seznamáckého mailu aneb Jak je snadné ukrást heslo k mailu i Facebooku

Nedávný případ zveřejnění citlivých osobních dat a infomacích o karetních transakcích celebrit jako Michelle Obama, Kim Kardashian, Joe Biden, Robert Mueller (šéf FBI), Hillary Clinton, Eric Holder (ministr spravedlnosti USA), Charlie Beck (šéf policie v Los Angeles), Mel Gibson, Ashton Kutcher, Jay Z, Beyonce, Paris Hilton, Britney Spears, Sarah Palin, Hulk Hogan, Donald Trump, Arnold Schwarzenegger, Al Gore, Mitt Romney, Tiger Woods, Bill Gates a dalších především v USA veřejně známých osob z řad hvězd i politiků ukázal na nedostatečné zabezpečení pomocí tzv. kontrolních otázek. Podobného zabezpečení přitom využívá například i český Seznam. Ohrožena je tak celá řada vašich služeb, od emailu, přes účet na PPC systému Sklik, Sbazar nebo Sauto. V bezpečí tak nemusí být ani váš Facebook účet. Přesvědčili se o tom už i naše celebrity. V zájmu útočníka se však můžete ocitnout i vy.

Znáte to, zapomenete heslo do mailu a tak se pokusíte o jeho znovuobnovení. Seznam, náš největší poskytovatel bezplatných mailových schránek, nabízí aktuálně čtyři možnosti získání hesla.

 

seznam1

 

Většina útoků na email probíhá právě přes první z možností, a to vyvoláním nového hesla pomocí odpovědi na kontrolní otázku. Momentálně Seznam nabízí několik relativně silnějších otázek a několik vyloženě slabých:

Středně silná otázka, vyžadující kontakt s obětí, případně přístup do úředních databází:

  • Číslo řidičského průkazu?
  • Datum vystavení řidičského průkazu?
  • Datum vystavení pasu?
  • Číslo pasu?
  • Číslo občanského průkazu?
  • Datum vystavení občanského průkazu?

Slabé otázky, které jsou nejsnáze odhalitelné:

  • Datum narození babičky?
  • Datum narození dědečka?
  • Rodné příjmení matky?
  • Můj nejoblíbenější film/seriál?
  • Nejoblíbenější herec/herečka?

Zejména v případě celebrit a známých osobností, ale nakonec i u našich známých, spolužáků nebo kamarádů, jsou tyto otázky velmi snadno zneužitelné. Své by o tom mohla vyprávět třeba populární moderátorka Ester Janečková.

„Bohužel, stává se mi to často. Mám na Seznamu dva maily a minimálně jednou za dva měsíce se mi stane, že se ani do jednoho nemohu se svým heslem přihlásit. Je změněno,“ svěřila se mi před nedávnem moderátorka.  Nekladla na to větší důraz, většinou hledala problém u sebe. V lednu se ale stalo něco, z čeho bylo jasné, že se nejedná o chybu na její straně. Neznámý útočník, v době, kdy sama žila vážnou osobní záležitostí, jí změnil heslo na Facebook a v jejím jméně publikoval xenofobní a rasistické příspěvky. „Bylo mi z toho špatně,“ řekla.

janeckova2

 

Problém je, že u podobných osobností často stačí jen několik minut googlovat a hned zjistíte, jak se jmenovala něčí maminka nebo jaký má nejoblíbenější film.

zilkova

Jaké je tedy řešení?

Pokud míříte mezi celebrity (nebo třeba i mikrocelebrity), změňte si otázku na takovou, na kterou není možné najít na webu nebo v tisku odpověď. To můžete udělat na adrese http://ucet.seznam.cz/.

Prima by bylo, kdyby se Seznam zamyslel nad samotnými otázkami. V době nulového soukromí, Facebooku a rentgenových vyhledávačů je třeba přistupovat k soukromí mnohem obezřetněji. Prima by také bylo, kdyby Seznam umožňoval nastavení vlastní otázky. Pak byste si sami mohli položit otázku, o které víte, že na ni znáte odpověď opravdu jenom vy. Stávající otázky jsou v podstatě vždy za určitých okolností odhalitelné. A kam až to může vést je vidět právě na případu zveřejnění údajů o platebních transakcích amerických celebrit.

A co na to Seznam?

Jakub Šumanský ze Seznamu přiznává, že o problému firma ví, v nejbližší době se však neplánuje výraznější změna: „Kontrolní otázky jsou vybírány tak, aby si je uživatelé skutečně zapamatovali. O uvedení možnosti vlastní otázky zatím nepřemýšlíme, a to z úplně jednoduchých důvodů. Uživatelé si buď dají opravdu složitou otázku, na kterou časem zapomenou či si dají otázku „Kolik je 1+1“, a to už není vůbec žádný problém rozluštit. Na druhou stranu víme o tom, že některé z našich kontrolních otázek mohou být zjistitelné (co v době Facebooku a vyhledávačů není) a pracujeme teď na tom, abychom opětovné zjištění hesla udělali bezpečnější.“

Šumanský přitom upozorňuje na fakt, že lidé přicházejí o svá hesla i proto, že se sami nechovají bezpečně – mění hesla v kavárnách, neodhlašují se, nepoužívají zabezpečený přístup či dokonce je sami někomu dají. „Pár pravidel bezpečného používání hesla najdete i v Seznamácké nápovědě – http://napoveda.seznam.cz/cz/login/zasady-bezpecnosti,“ doporučuje

Co dělat při podezření z napadení mailu nebo Facebooku?

Na příkladu Ester Janečkové je vidět, že do doby, než se útok projeví veřejně (zmiňovaný „update“ Facebooku, zveřejněné soukromé fotky či informace, zneužití soukromých údajů nalezených v poště atd.), řada uživatelů na první příznak napadení mailu – změněné hesla a z toho plynoucí nemožnost přihlásit se původním heslem – ani nereaguje. Naopak,  chybu lidé hledají u sebe. Na útok nebo možnost krádeže ani nepomyslí.  Co v takovém případě doporučuji? Ihned kontaktovat podporu provozovatele mailové schránky (Seznamu) s žádostí o informace o poslední změně hesla, včetně toho, z jaké IP adresy žádost šla, na jaký mail bylo heslo zasláno, z jakých adres bylo provedeno přihlášení, případně jaké složky byly otevřeny, jaká byla prováděna hledání a další informace. A obraťte se na odborníky na internetovou bezpečnost, kteří vám následně poradí, co a jak dál…

6 thoughts on “Jak spolu souvisí hack celebrit a zabezpečení Seznamáckého mailu aneb Jak je snadné ukrást heslo k mailu i Facebooku

  • avatar
    20. 3. 2013 at 15:28
    Permalink

    No, to ze se mam obratit na seznam s dotazem kdy a jak bylo heslo zmeneno jje sice krasne, ale zaroven je to jen sen. Tento pribeh se nedavno stal memu klientovi, ktery mel na seznamu email, a byl mu ukraden. A seznam? „Heslo muzete obnovit jen za pomoci formulare“. Na podpore se s nim nikdo nebavil, a nikoho to nezajimalo. Mohl dokladat dukazy, a historii svych emailu jak chtel Smula. Takze dobra rada? Pouzivejte jine, nejlepe vlastni emailove sluzby. na vlastni domene, s webhostingem. Freemailum typu seznam se zdaleka vyhnete.

    Reply
  • avatar
    20. 3. 2013 at 13:07
    Permalink

    to: seom. A pak si to pamatuj, že jsi dal takovou odpověď… 😀

    Reply
  • avatar
    20. 3. 2013 at 12:47
    Permalink

    V případě takových hloupých (uhodnutelných) otázek přece člověk nemusí odpovědět správnou odpověď, tam není kontrola syntaxe. Na otázku na číslo řídičského průkazu přece může napsat třeba datum a místo, kdy přišel o panictví. To už se dá uhodnout hůř, když odpověď s otázkou tematicky vůbec nesouvisí.

    Reply
  • avatar
    20. 3. 2013 at 04:36
    Permalink

    to dvoustupnove heslo u Gmailu je super!
    Ja s heslama taky dost bojuju. Clovek kdyz spravuje par webu, nejaky fora, par majlu, tak tech hesel je pozehnane a co snima?!? Nemit je stejny a udrzet je v hlave je nadlidsky vykon.

    Reply
  • avatar
    19. 3. 2013 at 20:57
    Permalink

    Dvoufázové (dvoustupňové) přihlašování má např. Google, facebook o tom uvažuje, snad se připojí i seznam, centrum.

    Reply
  • avatar
    19. 3. 2013 at 19:41
    Permalink

    Již jsem jim to navrhoval pomocí jejich „výzkumníku“ – kdyby udělali možnost zapnutí dvoustupňové verifikace a obnovení hesla rovněž pomocí ověřeného telefonu bylo by hotovo, nic těžkého na tom není a nabídnout to uživatelům by je také tolik nestálo.

    Reply

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *