Только что прочитал потрясающую (гиковскую) статью —
The Anatomy Of The Twitter Attack, о том, как один хакер довольно простым способом получил доступ к тоннам конфиденциальной информации всей компании Twitter. Но мне кажется, выводы будут интересны многим.
Итак, 5 шагов:
1) Берем личный ящик не особенно параноидального сотрудника (на GMail), тыкаем на кнопку «забыл пароль». Система по восстановлению пароля отправляет одноразовую ссылку на вторичный адрес ***@h***.
2) Догадываемся, что этот адрес (о чудо!) на hotmail.com, который
больше не существует и свободен для регистрации. Конечно же, регистрируемся и получаем доступ к первому ящику на GMail.
3) Теперь надо сказать спасибо сервисам, которые высылают пароль после регистрации, и теперь они у нас в руках, (т.е. у жертвы в ящике). О чудо, опять же, пароль почти везде один и тот же, например, god14. Скорее всего, этот пароль и был в оригинале на GMail-е, ставим его обратно. Жертва ни о чем не догадывается.
4) Опять чудо! Корпоративный ящик имеет тот же пароль, что и личный ящик.
5) Берем хороший интернет и сливаем всю почту вместе с приложениями (читай — важными финансовыми документами) к себе.
Это примерно так же, как во всех авиа происшествиях. Комбинация факторов, каждый из которых сам по себе большого значения не имеет, приводит к катастрофе. Факторы простые:
1) Дурная привычка иметь везде один и тот же пароль (говорят, нынче самый модный — «password1»).
2) Дебильные сервисы, которые присылают пароль в чистом виде после регистрации (я подозреваю, они еще его и хранят у себя в нешифрованном виде).
3) Излишняя честность при ответе на «Секретный вопрос для восстановления пароля» в духе «Мою кошечку зовут Маша». Догадаться не очень сложно.
Подозреваю, многие повторяют свои пароли в разных местах (иначе недолго свихнуться) и имеют в ящике с десяток писем от дружелюбных сервисов, приславших пароль после регистрации. Будьте бдительны :)