Artikel top billede

Nemt at nulstille kodeord i andres web-mails

Simpel test viser, at enhver med blot en smule logisk sans og frækhed kan bryde ind i både Yahoo Mail, Googles Gmail og Microsofts Windows Live Hotmail.

Computerworld News Service: Yahoo Mail er ikke den eneste webmailtjeneste, der kan narres til at give en e-mailkontos kodeord til fremmede, hvilket er den taktik, nogle mener, der blev brugt til at bryde ind i Alaskas guvernør Sarah Palins webmail i forrige uge.

Googles Gmail, Microsofts Windows Live Hotmail samt Yahoo Mail gør alle brug af mekanismer til automatisk nulstilling af kodeord, som kan misbruges, hvis man kender det brugernavn, der hører til en konto og svarer hurtigt forsøg foretaget af Computerworld.

Journalister og redaktører på Computerworlds redaktion i USA var i stand til at 'bryde ind' i deres egne og kollegers konti på alle tre webmailtjenester og nulstille kodeord ved brug af intet andet end kontoens brugernavn og det korrekte svar på et ud af et begrænset antal almindelige sikkerhedsspørgsmål, såsom moderens pigenavn, navnet på et yndlingskæledyr eller mærket af kontoejerens første bil.

Nogle af de informationer, der ville give svar på disse sikkerhedsspørgsmål, kan nemt findes ved at søge på sociale netværkssites eller ved normale internetsøgninger, hvilket er, hvad hackeren, der går under navnet 'rubico', hævder at have gjort for at grave sig frem til de informationer, der gav adgang til Palins webmailkonto.

Alternativ mailadresse

Hvis en hacker kender en kontos brugernavn, som ofte er identisk med den del af en e-mailadresse, som står før @-symbolet, og korrekt angiver CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart), som er navnet for den funktion, hvor man skal indtaste nogle forvredne tal og bogstaver vist på skærmen, så er der ikke andet mellem hackeren og muligheden for at nulstille kontoens kodeord end det nævnte sikkerhedsspørgsmål.

Ingen af webmailtjenesterne krævede, at det ny kodeord blev sendt til en alternativ e-mailadresse, selvom det er en valgmulighed for alle tre, men processen foregik i stedet fuldstændigt online.

Adam O'Donnell, som er direktør for fremkommende teknologier hos messaging-sikkerhedsleverandøren Cloudmark, udtaler, at automatiseret kodeordsnulstilling er normalen inden for webbaseret mail, hvad enten tjenesten er gratis som Yahoo, Hotmail og Gmail eller tilbydes som en del af pakken fra internetudbyderen.

"Internetudbydere har papirtynde overskudsmarginer og et eneste supportopkald for at nulstille et kodeord vil også nulstille den måneds profit på den pågældende bruger," udtaler O'Donnell.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere


Cyberthreat Day, Horsens: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

10. april 2025 | Læs mere