Το περίεργο αίτημα του χάκερ που υπέκλεψε 17 εκατομμύρια e-mail

Χάκερ κατάφερε να υποκλέψει 17 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου από μια εξαιρετικά εκτεταμένη υπηρεσία εύρεσης εστιατορίων. Σημειώστε, πως η Zomato δεν παρέχει τις υπηρεσίες της στην Ελλάδα. Ανεπηρέαστοι είναι επίσης όσοι χρησιμοποιούσαν το λογαριασμό τους στο Facebook ή στο Google για να κάνουν login στις υπηρεσίες της Zomato (OAuth), και έτσι η λίστα e-mail/(hashed/salted)password περιορίστηκε σημαντικά.

Εντούτοις, μια λίστα με 6,6 εκατομμύρια από αυτές τις διευθύνσεις, μαζί με κρυπτογραφημένα, αλλά όχι απόρθυτα password, τέθηκαν προς πώληση στο αχαρτογράφητο dark web. Η πώληση της λίστας θα έθετε σε κίνδυνο τους χρήστες, παρά το γεγονός ότι δεν περιελάμβανε αριθμούς πιστωτικών καρτών ή άλλα ευαίσθητα στοιχεία. Εντούτοις, η αξιοπιστία της εταιρείας πλήττεται σοβαρά και είναι κρίσιμο πριν αρχίσουν οι διαγραφές λογαριασμών, να ξανακερδίσει την εμπιστοσύνη των χρηστών της. Εξάλλου, η εταιρεία παραδέχτηκε ότι παρά το γεγονός ότι τα password ήταν κρυπτογραφημένα και «αλατισμένα», θα μπορούσαν να αποκρυπτογραφηθούν με αλλεπάλληλες δοκιμές της τεχνικής brute force.

Έτσι, η Zomato επιχείρησε καταρχήν να επικοινωνήσει με τον άνθρωπο που δημοσίευσε τη λίστα προς πώληση και προς έκπληξή της βρέθηκε αντιμέτωπη με έναν συνεργάσιμο χάκερ. Γρήγορα, υπέκυψε στον περίεργο εκβιασμό του.

• Ξέρατε ότι… ο νεαρότερος χάκερ που βρήκε bug στο Facebook και πληρώθηκε για αυτό 10.000 δολάρια είναι ο 10χρονος Γιάνη από τη Φιλανδία;

«Συνεργαστείτε με την κοινότητα των χάκερ που διακρίνονται από το ήθος τους και καθιερώστε μια αμοιβή για τη δουλειά που κάνουν ώστε να παρέχετε με ασφάλεια τις υπηρεσίες σας. Καθιερώστε ένα bug bounty program», ζήτησε ο άγνωστος εισβολέας.

Πράγματι, η Zomato δεσμεύτηκε ότι στο εξής θα προσφέρει αμοιβή σε χάκερ που επιθεωρούν για κενά που ενδεχομένως υπάρχουν στο λογισμικό της , αναρτώντας το σχετικό bug bounty program στο Hackerone, το σύνθημα του οποίου είναι «Hack, Learn, Earn».

Αμέσως, η λίστα των 6,6 εκατομμυρίων δολαρίων εξαφανίστηκε από το dark web και ο χάκερ δεσμεύτηκε να καταστρέψει τυχόν αντίγραφα.

• Θέλετε να γίνετε bug hunter; Δείτε τη λίστα του Hackerone με τα προγράμματα αμοιβής χάκερ για τον εντοπισμό κενών ασφαλείας σε πλήθος υπηρεσιών.
  

• Πώς θα πληρωθείτε από το Facebook, εάν βρείτε κι εσείς ένα bug;

• Πόσο αμείβονται οι χάκερ για άγνωστα τρωτά σημεία σε iOS 10 και Android 7

• Κυνηγός bug βρίσκει τρόπο να κάνει δωρεάν… απεριόριστες βόλτες με Uber
  
• bugcrowd: How to become a bug bounty hunter
  

Ανθή Παναγιωτάκη, @anthi

tech.in.gr