Kategorie: Hacking

Je heslo na emailu seznam.cz v bezpečí?

Seznam.cz - jeden z největších českých portálů poskytující mimo jiné i tzv. neomezenou emailovou schránku - nutno brát s rezervou. Je to pár dní, co jsem si na twitteru přečetl tweet o bezpečnostní chybce. Dělím se o ni dále :)

Hack emailu na seznamu

Autor: KdoSiOdJinud | Vydáno: 5.12.2013 19:34 | Přečteno: 19703x | Komentářů: 0

Hack emailu na seznamu?

Celá chybka spočívá v nešifrovaném odeslání hesla k posouzení, zda je heslo dostatečně silné. Ano je to ta krásná vychytávka, která nás při dostatečně kvalitním hesle obšťastní hláškou:

Bezpečnost hesla: hustodémonsky krutopřísné

Při vyplňování hesla se v pozadí neustále odesílá požadavek, který bezpečnost hesla vyhodnocuje. Ačkoliv je celý registrační formulář řešen přes https, požadavek se vskutku bezpečně neposílá :).

EDIT: tak se zdá, že chybka je opravena (22:40 5.12.2013)

Vše si můžete vyzkoušet u registrace nového emailu. Bere se odesílání nešifrované podoby hesla při registraci jako bezpečnostní bug? Podle mě docela jo :), divím se, že vývojáři seznamu tuhle chybku ještě neopravili. Pravděpodobně nepřikládají váhu místu, které uživatel využije pouze jednou při registraci, kdy navíc email neobsahuje žádné zprávy - to ale není tak úplně pravda.

Scénář, jak je možné přijít o heslo

V panelových domech bývá ve většině případů řešena síť typem hvězdice, existuje společný router na který jsou všeci připojeni a jsou tedy ve stejné lokální síti. Tato síť je pak připojena "na internet". V takovéto situaci je pro člověka co stráví několik minut nad články o sniffingu velice jednoduché odposlechnout síťovou komunikaci svých sousedů, za použití například nástroje Wireshark apd.

Tento člověk, by jak se zdá, musel neustále sbírat data a doufat, že se někdo zaregistruje. Může si však ke svému záměru dost pomoci, co takhle někomu ze sítě napsat jakoukoliv zprávu, která ho přiměje si heslo změnit? Může využít fakemailer, při použití odesílatele stejného jako příjemce si troufnu říci, že 9 z 10 běžných uživatelů uvěří, že jejich účet byl kompromitován.

hack hesla na email

Ajax pro vyhodnocení síly hesla je použit i při změně hesla a útočník tak v relativně krátké době může v logu očekávat nově nastavené heslo. Tadá, uživatelé nezmůžou nic. Kdo ví, v jakém logu se válí moje heslo a čeká, až si jej někdo GREPne :-D.

Závěrem

Chyba neposkytuje bezprostřední přístup do schránky, ale ulehčuje útočníkovi heslo získat. Upozorňuji, že článek není návod, jak se heslo snažit zcizit, zalogováním se do cizí schránky bez souhlasu majitele porušujete tuším listovní tajemství (proč to píšu? protože mi stejně postupně napíšou desítky lidí, jestli bych heslo nezkusil zjistit - odpovídám už zde, ne - nezkusil). Pokud i tak stále dychtíte po hesle své přítelkyně, teď musím uznat, že křivdím, z diskusí a for je krásně vidět, že do soukromí chtějí zasahovat především ženy, tak vám doporučuji si přečíst tento článek: 7 věcí co nedělat, nekomplikujte si život. Nechť hesla zůstanou utajena. Amen!

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


Nebyly přidány žádné komentáře.