Una settimana fa StrongWebMail, una nuova societa’ che fornisce servizi di posta elettronica, per dimostrare la inviolabilita’ dei propri server e dei propri servizi ha deciso di “sfidare” gli Hacker mettendo in palio 10.000 $ per chi fosse riuscito a penetrare nella casella elettronica del loro CEO.

Fonte di tanta sicurezza e’ stato il nuovo metodo di autenticazione che, oltre agli usuali Username e Password richiede anche un “terzo elemento” (un codice di cinque cifre) che viene generato casualmente al momento dell’accesso e mandato via SMS al titolare della email.
Questa sicurezza ha anche spinto StrongWebMail a fornire ai partecipanti lo Username e la Password di questo account, per mostrare la potenza di questo nuovo metodo di autenticazione

Inutile dire che nel giro di poco l’email e’ stata violata senza ricorrere a forza bruta e senza rubare allo stesso CEO il cellulare [superemotions file="icon_rolleyes.gif" title="Rolling Eyes"]..

L’email e’ infatti stata violata sfruttando l’anello piu’ debole della catena: l’utonto.

E’ stata infatti mandata al CEO stesso una mail contenente un link che indirizzava ad un sito preparato per un attacco Cross-Site scripting (XSS) che ovviamente e’ stato cliccato ed aperto. Questo ha come per magia aperto le porte al gruppo di Hacker che si sono cosi’ portati a casa il bottino.

Morale della favola.. e’ inutile un sistema a prova di bomba se dai le chiavi di accesso a degli incompetenti.

(fonte AD)

Stay tuned !

Share on Facebook