About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

LOL: ál-kémek éltek vissza az Alkotmányvédelmi Hivatal nevével?


nemzetbiztonság rendvédelem titkos információgyűjtés OSINT social engineering dumpster diving magán-titkosszolgálatokÁllítólagosan az Alkotmányvédelmi Hivatal alkalmazottjai megzsaroltak egy újságírót még 2015 decemberében a 444.hu egyik eheti cikke szerint. 
Gondoltam nem írok róla azonnal, hanem előtte kicsit utánascrollolok, utánalapozok, na meg ha kell, utánakérdezek a dolognak és aztán írok róla akkor is, ha ilyen módon a hír már annyira nem aktuális. Megjegyzem, a 444.hu a magyar lapok közt a nagyon kevés magyar lap közt az egyik kedvenc, viszont ezúttal több jel is arra mutat, hogy nagyon mellényúltak illetve a sztoriban érintett újságíró is túlgondolta egy kicsit azt, ami vele történt.

Akinek nincs meg a sztori, annak összefoglalom röviden: Plankó Gergő egy bizonyos, közelebbről meg nem nevezett G-ként hivatkozott újságíróról ír, ami szerint G-t munkába menet megkeresték az Alkotmányvédelmi Hivatal alkalmazottjai, aláírattak vele egy titoktartási nyilatkozatot, elővették a magánélete érzékeny részleteit, szóba hozták, hogy az adatok nem tőlük származnak, de tudnak segíteni abban az esetben, ha segít G együttműködni az AH munkájában, persze fedve. Hogy pontosabban mi lett volna a feladat, nem derül ki. A cikk gyorsan párhuzamot is von a pártállami rendszer beszervezési gyakorlata közt. Az egész sztorival annyi a baj, hogy millió sebből vérzik, részben azért, mert a történet érintettjét legvalószínűbb, hogy alaposan megtévesztették, a 444 pedig hiába próbált meg kellő alapossággal eljárni, mégis egy sötét beszervezős sztorit sikerült sederíteni az egészből. A cikkből persze az sem derült ki, hogy kik voltak a 444 „titkosszolgálati téren jártas” forrásai. Ami pedig G-t illeti, könnyen hihette, hogy valódi nemzetbiztonsági alkalmazottak keresték meg, ha orra alá dörgöltek pár magánéleti részletet, amiről úgy gondolta, hogy arról csak hatóság tudhat.

A legvalószínűbb alternatíva, hogy a magán-titkosszolgálatok valamelyike, azaz nem hivatalos szerv találta be az érintett újságírót, úgy, hogy az Alkotmányvédelmi Hivatal alkalmazottjainak adták ki magukat. Az pedig a magyar, komolyan vehető szakirodalomból is tudható, hogy a magán-titkosszolgálatok, azaz titkosszolgálati-jellegű tevékenységet végző privát cégek pofátlanságuktól és szakszerűtlenségüktől függően alkalmazhatnak zsarolást ugyan ehhez az előbbi jellemzőkön túl egyrészt nagyon igencsak hülyének kell lenniük és nagyon nagyot kockáztatnak, ha rossz embert találnak meg.

Márpedig szinte minden jel arra utal, hogy itt ez történt.

Kezdjük ott, hogy valóban nem elképzelhetetlen olyan eset, amikor civil segítségét kéri valamelyik magyar polgári, esetleg katonai rendvédelmi szerv, viszont ilyen esetben sokkal valószínűbb, hogy a megkeresést nem közvetlenül az Alkotmányvédelmi Hivatal, hanem a Nemzetbiztonsági Szakszolgálat vagy a Szervezett Bűnözés Elleni Koordinációs Központ alkalmazottai végzik. Egész egyszerűen azért, mert kimondottan közvetlen operatív feladatról van szó, az AH tevékenysége pedig jellegénél fogva egyszerűen más.

A fedett informátor alkalmazása egyébként nem az ördögtől való dolog, viszont egyszerűen idióta az összehasonlítás a pártállami rendszerben dolgozó, kimondottan ideológiai okból pártérdeket szolgáló besúgók alkalmazásával, sajnos az eredeti után átvett cikkek is mégis azt sejtetik, hogy a kettő hasonló.

Fedett informátort rendvédelmi szerv egyébként egyre ritkábban, alapvetően akkor alkalmaz, ha már igencsak sok más lehetőséget kimerített, ami valamilyen információ megszerzésére irányul, ennek megfelelően túlzó az a megfogalmazás, hogy Magyarországon civilek bevonása gyakorlat lenne.

Mi van akkor, amikor mégis alkalmaznak? Nyilván miután megállapították, hogy ki lenne alkalmas ilyen feladatra, nagyon alapos környezettanulmányt készítenek róla, amiből eleve nem csak az derül ki, hogy milyen értékű információ lenne várható tőle, hanem ami legalább ennyire fontos, olyan karakterű figura-e, akitől egyáltalán nyugodtan kérhetnek segítséget a hatóságok, padlógázzal nyomott szakszerűtlenséggel fogalmazva „beszervezhetik”.

Ezért is totál életszerűtlen, hogy bárkit is úgy akartak volna „beszervezni”, hogy olyan dumával nyitnak az első kapcsolatfelvételkor egy újságírónál, aminek következtében megfélemlítve érzi magát, mivel azt azért általában senki sem szereti függetlenül attól, hogy a környezettanulmánya szerint milyen karakterű civilről van szó. Ahogy az is nagyon életszerűtlen, hogy ilyen-olyan titoktartási megállapodásokat írattatnak alá vele a legelején, ami szintén teljesen hülyén venné ki magát. Alapvetően a fedett ügynökök úgy dolgoznak, hogy teljesen más kapcsán lépnek kapcsolatban a civillel, megalapoznak egyfajta szükséges bizalmat és élnek a puhatolás módszerével, azaz a civil nem is fogja ismerni, hogy ténylegesen mire is kíváncsiak a fedett nyomozók. Ezt követően már a konkrét szituáció alapján következtetnek arra, hogy az illető mennyire lehet alkalmas, mint olyan civil információforrás, amelyiknek érdemes felfedni, hogy valójában melyik szervezetnek is van szüksége arra, amit tud.

Az eredeti cikk még kitér rá, hogy olyan szenzitív információkat szedtek elő az újságíró múltjából, amit csak titkos adatgyűjtésen [hogy precíz legyek, alighanem a cikk szerzője itt titkos információszerzésre gondolt] keresztül elérhető információ. Csakhogy a gyakorlatban ma már nem lehet megállapítani azt, hogy egy információhoz biztosan valamilyen hatóságon keresztül fértek hozzá vagy valakik ennél trükkösebbek voltak.

nemzetbiztonság rendvédelem titkos információgyűjtés OSINT social engineering dumpster diving magán-titkosszolgálatok

Hogy a tengernyi lehetséges forgatókönyv közül egyet említsek, ha valakit leszólít valaki öblös hangon és villant egy szépnevű szervezet által kiállított igazolványt, az illetőnek esélye nincs megállapítani, hogy az valódi vagy hamisítvány-e másrészt, ha ad absurdum az illetőnek az orra alá dörgölik valamilyen módon, hogy milyen betegségekkel kezelik vagy kezelték korábban, nem jelenti azt, hogy az biztosan a TB-nyilvántartásból származik, ezer más módon beszerezhető. A példánál maradva, orvosi titoktartás ide vagy oda, azt hiszem, hogy erős kisebbségben vannak azok az orvosok, akik például egy kollégájuk nevében érkező, jól megtervezett telefonos megkeresés alapján nem adnának ki információkat egy adott betegükről, hiszen sokkal életszerűbb, hogy egy kollégának vagy más egészségügyi dolgozónak ténylegesen szüksége legyen valamilyen betegadatra, mint az, hogy valaki így próbáljon meg információt kicsalni. De írok még prosztóbb, ugyancsak bárki által kivitelezhető és szintén igencsak hatékony technikát: az üres gyógyszeresdobozokat csak az nem dobálja egészben a kommunális hulladékba, aki nem totál paranoid. Sokszor, ha valakinek a tevékenysége indokolná az elővigyázatosságot, még akkor sincs tisztában azzal a nagyon is reális kockázattal, hogy az információszerzés egyik legértékesebb eszköze sokszor a dumpster diving, azaz kukabúvárkodás, amikor a nyomozók szabályosan az érintett kukáját túrják át rendszeresen például gyógyszertárban kiadott számlák, kidobált régi dokumentumok és hasonlók után kutatva, ennek egyébként valóságos szakirodalma van a social engineeringben. Magának a háztartási szemétnek egyébként sokkal nagyobb az információértéke, mint amilyennek tűnik, hiszen nem csak az derülhet ki belőle, hogy valakinek ilyenek a fogyasztási preferenciái, hanem az is, hogy hol szokott vásárolni, de a szükségtelenné vált dokumentumok és szolgáltatói számlák is igencsak beszédesek lehetnek. Máig több olyan telkó szolgáltató van az országban, amelyiknek a telefonos vagy emailes ügyfélszolgálata beéri a felhasználó azonosításakor annyival, ha az ügyfél megadja az ügyfélszámát, ami ott van minden szolgáltatói számlán. Ha pedig valaki idáig eljutott, az előfizetőnek kiadva magát lekérheti a szolgáltatótól a híváslistát például.

Ezen kívül a megfigyelt személy közvetlen környezetében lévők jelenthetnek még olyan információforrást, akin keresztül igencsak sok tudható meg.

nemzetbiztonság rendvédelem titkos információgyűjtés OSINT social engineering dumpster diving magán-titkosszolgálatok

 

Miután hoztam rá néhány példát, hogy nem kell itt MI6-nek lenni ahhoz, hogy valaki szinte mindent tudjon valakiről – csak idő-, energiaráfordítás és ötletesség kérdése, aminek tényleg csak az szab határt, hogy valaki meddig hajlandó elmenni, amikor valaki után kutat, vissza az eredeti sztorihoz.

A konkrét sztoriban valószínűbb, hogy egy rutinos kukabúvár cég emberei adták ki magukat AH-alkalmazottaknak, ami persze nem zárja ki, hogy ne használtak volna fel olyan érzékeny információt is, amit egy hatóságtól szereztek be illegálisan, nem nagyon van olyan, amit csak onnan lehetne és ez a lényeg.

Egyébként az ál-ügynököket – már amennyire ismerem a törvényességi hátterét a dolognak – esetleg könnyűszerrel lebuktathatta volna maga az újságíró is. Például, ha a találkozókat a Gábor Áron úti Rózsakert Bevásárlóközpontba beszéli meg, a helyszínen pedig kitalál valamilyen jól tervezett ürügyet arra, hogy ugorjanak át a szembeszomszéd NBSZ-főhadiszállásra, különben nincs biznisz. Ha ezt nem tudják megoldani egy kellően fontos civil informátor esetén, akinek a segítségét kérik, de ezt nem tudják megoldani, akkor világos, hogy ál-ügynökök voltak. Az NBSZ-t írtam példaként, de lényegében lehetne még számos más hasonló profilú intézmény épülete is.

De alighanem még ennyire se lett volna szükség: én hasonló esetben a találkozó helyszíneként fix, hogy valamilyen szépnevű hatóság épületét jelölném meg, ahonnan a megkeresés érkezik, amennyire én tudom, ennek nincs törvényes akadálya. Ez nem lenne probléma egy valódi rendvédelmi szerv alkalmazottjának, az ál-titkosszolga pedig a válasza alapján rögtön lebukna.

A 444-cikk hivatkozik még rá, hogy megkereste az Alkotmányvédelmi Hivatalt a konkrét esettel kapcsolatban, ahonnan csak egy se íze-se bűze levelet kaptak válaszként, ami olyan rejtélyes ugye, de valójában nem jelent semmit. Nincs viszont ebben semmi meglepő, olyannyira nincs, hogy ha valaki azzal keresi meg akár a Rendőrséget, akár az Ügyészséget, hogy konkrétan őellene folytatnak-e nyomozást például, szintén hasonló sablon válaszlevelet kap vissza, holott ebben az esetben az állampolgár egy általa eltartott és az ő biztonságáért dolgozó szervezetet kérdez meg mondjuk egy saját ügyével kapcsolatban.

3 Tovább

Gmail-törés egyetlen mobilszámmal


Körülbelül két héttel ezelőtt tett közzé a Symantec egy figyelmeztetést az otthoni felhasználók részére egy videóval együtt, amiben pazar módon elmagyarázzák, hogy hogyan lopható, "törhető" egy Google Account  mindössze az áldozat mobilszámának ismeretében. /*azaz hogyan férhető hozzá a Gmail mellett az áldozat összes kapcsolódó Google-szolgáltatáshoz való hozzáférése is a jelszó ismerete nélkül*/

A módszer lényege nagyon röviden:

1. a támadó kattint az elfelejtett jelszóra a Google bejelentkező felületén, megadja az áldozat címét, majd kiválasztja a jelszóhelyreállítás módjainál, hogy SMS-tokent kér a visszaállításhoz. Ez ugye az a rövidke számsor, ami az áldozat mobiljára megérkezik, majd a begépelésével új jelszó állítható be.
2. Az áldozat persze azonnal figyelmeztetést kap, hogy valaki jelszóhelyreállítást kért a nevében és persze magát a tokent /*vegyük figyelembe a pszichés hatást is!*/, ilyennel bizonyára már többen találkoztatok Ti is korábban. Valami ilyesmire kell gondolni:

"Your account was logged into from a new browser or device. Review the login: https://webhely.tld/token_helye"

"Your account was recently logged into from Safari on Windows."

"Facebook Password reset code: [öt-hat számjegyű szám] Or reset your password here: http://fb.com/l/token_helye" [1]

"Access data for your account has been ordered by you personally or by someone else. Your temporary password: [jelszó helye]"

3. És itt jön a csavar, a támadó egy, az áldozat által nem ismert mobilszámról SMS-t küld, ami nagyban hasonlít a webszolgáltatások előbb idézett rendszerüzeneteihez, majd hozzáteszi, hogy a fiókja biztonságosabbá tétele érdekében SMS-ben küldje el válaszként a tokent.

4. Az áldozat kellően beparázik ahhoz, hogy ne vegye észre azt, hogy a válasz SMS-t egy közönséges mobilszámra küldi, ami kézbesítődik is a támadó mobiljára, aki a böngésző előtt vigyorogva szépen bekalapálja a tokent, új jelszót állít be és már el is lopta a fiókot, az áldozat legfeljebb akkor veszi észre, hogy valami nagyon nem stimmel, amikor legközelebb próbál belépni, de akkor már valóban új jelszót kell kérnie, hiszen nyilván nem tudja, hogy mit adott meg a támadó. Esetleg a támadó egy olyan kamu SMS-t küld, amiben egy kamu ideiglenes jelszó van és azt állíttatja be a felhasználóval olyan körítéssel, hogy ne változtassa meg pár napig :)

Videó, hogy szemléletes legyen:

Hozzáteszem, hogy a Symantec a Gmail-en mutatja be a módszert, de vegyük észre, hogy gyakorlatilag bármilyen webalkalmazásnál bevethető a támadás, ideértve a Facebookot, LinkedIN-t, Evernote-ot, stb. aminél a fiókhoz hozzá van rendelve mobilszám.

Adja magát a kérdés, hogy a támadás kivédésére mi jelent megoldást és mi nem?

Első laikus gondolat, ami nemhogy nem jelent megoldást, utalva a korábbi posztjaimra, nagyon veszélyesen hülye ötlet, a fiók még könnyebben ellopható:
- ha nincs beállítva mobilszám - hiszen így akkor sem tud a szolgáltatás azonosítani, amikor a legitim felhasználónak lenne rá szüksége
- ha olyan mobilszám van hozzárendelve, amit más nem ismerhet meg - ne vicceskedjünk már, ilyen egész egyszerűen nincs, soha nem is lesz, még olyan életszerűtlen esetben sem, amikor valaki fene nagy biztonságtudatosságában direkt a webszolgáltatásokhoz vesz egy SIM kártyát, amit a mobilszolgáltató titokban tart, a felhasználó a számot nem árulja el senkinek. Egészen egyszerűen nincs olyan, hogy "beszerezhetetlen mobilszám".

Akkor mi jelent megoldást? Egyszerűen az, ha a felhasználó figyelmes, és semmilyen webes szolgáltatásból érkező SMS-re nem válaszol, mivel ilyet normális webes szolgáltatás szinte sosem kér, néhány nagyon ritka esetet leszámítva!

Egyébként a videó megjelenése óta gondolkoztam rajta, hogy ezt megírjam-e vagy sem, több szempontból. Egyrészt egész egyszerűen azért, mert ez a blog nem news outlet, nem posztolom újra, amit más kitalált, esetleg csak abban az esetben, ha ahhoz eléggé sokmindent hozzá tudok tenni. Másrészt azért, mert ez a tweak nekem konkrétan annyira nem új, hogy már ezer éve találkoztam vele, ugyanakkor felvet egy fogós etikai kérdést. Amikor valaki talál egy programhibát, ami esetlegesen kihasználható, majd azonnal közzéteszi, ezzel kényszerítve a szoftverrendszer fejlesztőjét a minél gyorsabb javításra, full disclosure-nek nevezzük, megoszlanak a vélemények azzal kapcsolatban, hogy ez mennyire jó gyakorlat. Nos, teoretikai szempontból az olyan módszerrel kapcsolatban is tehető közzé full disclosure, mint amilyen ez, azaz egy kevéssé ismert social hack ismertetése, viszont remek kérdés, hogy erre a szolgáltatók hogyan reagálnak, persze legnagyobb valószínűséggel sehogy, ugyanakkor alighanem lesznek olyan pöcsök, akik megtalálják mondjuk ezen a blogon, aztán fel is használják, mivel a téma iránti érdeklődés finoman fogalmazva is intenzív – ja, az egy tálca sört még tartom!  

Ugyanakkor egyrészt a blogolás olyan értelemben nem felelősségteljes műfaj, hogy agyalnom kellene annak a közvetett következményein, amit leírok,  az is előfordulhat, hogy aki biztonságtudatossági tréningeket tart, esetleg itt találkozik a módszerrel először, aztán be tudja építeni a tananyagba, hogy aztán a felhasználók erre a támadási formára is fel legyenek készítve.

Azoknak írom, akik erre a posztra keresőn keresztül találtak rá törési gyorstalpaló után kutatva és primitív kíváncsiskodó pöcsként nem értik meg, hogy a barát, barátnő, főnök, alkalmazott, feleség fiókjához való illetéktelen hozzáférés milyen súlyosságú dolog, azt tudom mondani, hogy nyugodtan próbálják ki, mivel az előzetes megfelelő anonimizáláshoz, na meg mondjuk úgy, laborkörülmények beállításához elég eszük úgysincs, a web giantek meg nem hülyék, jó esetben szokatlan aktivitás esetén úgyis meggátolják a támadást, bónuszként azonosítják a támadót, de úgy, hogy őt rúgják ki végleg, szóval hajrá!  

Sokszor nem értik, amikor arról beszélek, hogy alapvetően mindenféle jelszóemlékeztető, jelszóhelyreállító feature rossz, pláne, ami nem igényel emberi beavatkozást, akármilyen szofisztikáltnak tűnik is. Ugyanakkor erre nyilván szükség van tömegszolgáltatások esetén, hiszen semmilyen szolgáltatás, amelyik közvetlenül nem kér előfizetési díjat a használatáért, egyszerűen nem engedheti meg magának egy harceddzett ügyfélszolgálat fenntartását [2], ugyanakkor azt sem, hogy a felhasználóik semmilyen módon ne férhessenek hozzá a fiókjukhoz például amikor valóban elfelejtették a jelszavukat.

Vegyük észre, hogy a netbank-rendszerek már nem ilyen hülyék, nem lehet beállítani új jelszót csak úgy, néhány banknál még telebankon keresztül sem, ahogy azt is, hogy itt - az én definícióm szerint - ismétcsak szó sincs törésről, csak egy átlagosan kifinomult trükkről, ami az emberi tudat egy sajátosságát használja ki, - ami ugye esetfüggően bug vagy feature :) -  nem pedig egy szoftveres hibát!  

[1] korábban a FB-ban volt egy olyan jelszóhelyreállító metódus, amiben a mobilra érkező 5 számjegyű számmal lehetett új jelszót beállítani. Nos, ekkor megérkezett egy token SMS-ben, amit a felhasználónak meg kellett adnia, ha pedig elírta, akkor a Facebook figyelmeztette, hogy helytelen, ezért adja meg újra, VISZONT nem korlátozta a próbálkozások számát! #facepalm!!! Tehát akár automatizáltan is bárki bárki másnak a fiókján végigpróbálgathatta a maximálisan 99999 lehetséges ismétléses permutációt - átlagosan ebből ugye tehát mindössze ötvenezer próbálkozás is elegendő volt, majd ha talált, beengedte a szolgáltatás a támadót. A módszer persze azóta már nem működik és a próbálkozások számán túl még nagyon sok mást is figyelnek a normális webszolgáltatások annak kiküszöbölése érdekében, hogy a jelszót valóban a fiók tulajdonosa tudja csak átírni, aztán ha támadást tapasztal, ahogy írtam, szépen szögre akasztja a támadót.

[2] Ami a szolgáltatások supportját illeti, nos, igen, kivétel minden alól van. Ortó nagy botrány volt belőle, amikor kiderült, hogy jelszóvisszaállításkor az Apple telefonos supportja az új jelszó beállításához csak a fióktulajdonos postai címét kérte el meg talán még egy adatot, amit bárki megtudhat, a gyakorlaton mégis csak akkor változtattak, amikor már jópár Apple-fiókot feltörtek. Másrészt bizonyos esetekben a Google csak akkor engedélyezi az új jelszó beállítását, ha a fiók tulajdonosa befizet 1-3 USD-t, ekkor egy alkalmazott is megnézi a felhasználó korábbi aktivitását, majd valamilyen belső policy alapján eldönti, hogy a kapcsolattartói email-címre küld-e átmeneti jelszót. Azt viszont már nem ellenőrzik, hogy a bankkártya, amivel ezt az összeget valaki fizeti, annak a nevén van-e, akinek a nevén regisztrálva van a fiók :)

A legdöbbenetesebb tapasztalatom konkrétan személyes és egy óriásszolgáltatóhoz tartozik, mivel nem tudom, hogy a módszer működik-e még, nem írom meg, hogy melyikről van szó. Történt, hogy egy szolgáltatásba még kiskoromban regisztráltam, nem használtam évekig, amikor pedig ismét léptem volna be, a jelszó nem stimmelt. Gondoltam, semmi probléma, ott az account recovery, igen ám, de a hozzá tartozó email cím már nem élt, már a domain sem, így oda nem tudtam jelszóhelyreállítót kérni. Ahogy az ott szépen le volt írva, felvettem a kapcsolatot a supporttal, megírtam nekik, hogy mi az ábra, viszont lévén, hogy ilyet bárki írhat, feltüntettem azokat az adatokat, amiket csak én tudhatok, nevezetesen, hogy évekkel korábban másodperc pontossággal mikor regisztráltam /*megvolt az ezzel kapcsolatos email a benne lévő aktiváló kóddal együtt*/, melyik netszolgáltatót használtam akkor. Olyan válasz érkezett, hogy azt hittem, nem hiszek a szememnek: a supportos tag ragaszkodott hozzá, hogy arról az email címről írjak nekik, amelyikkel regisztráltam, holott pont azért írtam nekik, mert a postafiók már nem létezett. Aztán küldtem nekik még néhány adatot, ami nyilván megvolt nekik is, rajtuk kívül csak én tudhatok róla, de a tag ragaszkodott a belső policyhoz, aztán ellevelezgettünk pár napig. Végén gondoltam, hogy ez már tuti bukó, nincs vesztenivalóm, aztán lezavartam neki a legcifrább kurvaanyázást, amit csak tudtam, ékes angolsággal viszont - itt jön a lényeg - az emailem fejlécét úgy változtattam meg, hogy annak a feladó mezőjében az általuk kért, a már nem létező címem szerepeljen, válaszcímként pedig olyan, ami létezik és azt is megírtam nekik, hogy egy több tízmilliós szolgáltatásban ez a gyakorlat nevetséges, hiszen ilyen alapon bárki lenyúlhatja más fiókját egyszerűen a supportnak küldött email fejlécének megmókolásával. Nem hiszitek el, hogy mi történt: a supportos azonnal küldött jelszót /*hiszen formálisan arról a címről írtam nekik, amelyikhez tartozott az account!*/ és visszakaptam a hozzáférést a szolgáltatáshoz.

képek: geekpause.com, hackpla.net, mikeyanderson.com

4 Tovább