Sicurezza informatica: questa sconosciuta
Per la serie.. non c’e’ mai limite al peggio.
Una settimana fa StrongWebMail, una nuova societa’ che fornisce servizi di posta elettronica, per dimostrare la inviolabilita’ dei propri server e dei propri servizi ha deciso di “sfidare” gli Hacker mettendo in palio 10.000 $ per chi fosse riuscito a penetrare nella casella elettronica del loro CEO.
Fonte di tanta sicurezza e’ stato il nuovo metodo di autenticazione che, oltre agli usuali Username e Password richiede anche un “terzo elemento” (un codice di cinque cifre) che viene generato casualmente al momento dell’accesso e mandato via SMS al titolare della email.
Questa sicurezza ha anche spinto StrongWebMail a fornire ai partecipanti lo Username e la Password di questo account, per mostrare la potenza di questo nuovo metodo di autenticazione
Inutile dire che nel giro di poco l’email e’ stata violata senza ricorrere a forza bruta e senza rubare allo stesso CEO il cellulare [superemotions file=”icon_rolleyes.gif” title=”Rolling Eyes”]..
L’email e’ infatti stata violata sfruttando l’anello piu’ debole della catena: l’utonto.
E’ stata infatti mandata al CEO stesso una mail contenente un link che indirizzava ad un sito preparato per un attacco Cross-Site scripting (XSS) che ovviamente e’ stato cliccato ed aperto. Questo ha come per magia aperto le porte al gruppo di Hacker che si sono cosi’ portati a casa il bottino.
Morale della favola.. e’ inutile un sistema a prova di bomba se dai le chiavi di accesso a degli incompetenti.
(fonte AD)
Stay tuned !
