В ночь с 25 на 26 июня 2012 года твиттер оппозиционного деятеля Алексея Навального круто изменил стиль, начал звучать нецензурно и с ощутимым акцентом, свойственным поклонникам udaff.com. Что среди ночи случилось с политиком, понять несложно: его твиттер взломали. Информация о пользователе сменилась на «Жулик и вор Алексей Навальный 2.0», а следом шла ссылка на блог хакера, известного в рунете под псевдонимом Hell.
Целый день Хэлл развлекался тем, что вещал через @navalny. Вечером того же дня аккаунт вернулся к Алексею Навальному — помогло обращение в техническую поддержку Google. Хэлл к тому времени уже давал интервью газете «Известия» и рассказывал о своих подвигах — как недавних, так и давнишних.
Взлом твиттера Навального начался, как водится, со взлома почтового ящика. Захватив контроль над электронной почтой, удалось заполучить и Twitter. Поскольку Навальный не мог вернуть почту без обращения в Google, а аккаунт был (по утверждению Навального) привязан к номеру мобильного телефона, складывается впечатление, что Хэллу каким-то образом удалось преодолеть защиту двухфакторной авторизацией — ту самую привязку к телефону.
Возможно и другое объяснение произошедшего. И компьютер, и телефон Алексея Навального 11 июня 2012 года были изъяты Следственным комитетом в ходе расследования дела о беспорядках на Болотной площади. Навальный усматривает между изъятием и последовавшим через пару недель взломом связь.
Что же произошло на самом деле? За комментариями мы обратились к специалистам по компьютерной безопасности.
Александр Навалихин, исследовательский центр Positive Research
Когда используется двухфакторная аутентификация с привязкой к телефону, то получить доступ к аккаунту довольно сложно. Если, конечно, у вас в руках нет того телефона, к которому привязана учётная запись.
Можно попытаться восстановить пароль с помощью специальной формы восстановления, однако рассмотрение заявки занимает от трёх до пяти рабочих дней. Чтобы, обработав заявку, вам предоставили доступ к чужой почте, нужно собрать очень много достоверной информации (номер телефона, к которому привязан Google-аккаунт, и другие персональные данные). Однако как только отправляется заявка на восстановление, на все дополнительные почтовые ящики, связанные с аккаунтом, приходят письма с предупреждением о попытке восстановления. Плюс ко всему с помощью этих писем можно прервать процесс восстановления – достаточно просто ответить хотя бы на одно из них.
Аккаунт в Twitter также может быть привязан к телефону и почте. Поэтому если получить доступ к почте или телефону, то можно, теоретически, получить доступ и к аккаунту в Twitter.
Другой вектор атаки — для входа в почту получить доступ к компьютеру, который является доверенным (в течение тридцати дней). В этом случае нет необходимости отправлять временный код на привязанный телефон. Доступ может быть как и физическим, так и удалённым. Не стоит забывать, что многие пользователи разрешают браузерам сохранять пароли, чтобы не вводить их несколько раз в день.
Не стоит также забывать, что в крупных интернет-сервисах периодически обнаруживаются уязвимости. Поэтому этот вектор атаки тоже не стоит исключать.
Олег Шабуров, руководитель группы информационной безопасности Symantec
Взлом мог быть совершён несколькими способами, могли быть использованы:
1. Технические методы (так как то же вредоносное ПО, например Flamer, может перехватывать сообщения и передавать злоумышленникам).
2. Методы социальной инженерии (это куда более вероятно). Адресату могло прийти письмо о необходимости смены пароля. Прийти оно могло от злоумышленников с приглашением на подложный сайт. Полученные с этого сайта учётные данные и пароли могут быть использованы для получении доступа к почтовому ящику.
3. Может быть просто небрежность: оставленный незаблокированным компьютер или на секунду оставленный мобильный телефон…. Кто не воспользуется таким случаем?