В ночь с 25 на 26 июня 2012 года твиттер оппозиционного деятеля Алексея Навального круто изменил стиль, начал звучать нецензурно и с ощутимым акцентом, свойственным поклонникам udaff.com. Что среди ночи случилось с политиком, понять несложно: его твиттер взломали. Информация о пользователе сменилась на “Жулик и вор Алексей Навальный 2.0”, а следом шла ссылка на блог хакера, известного в рунете под псевдонимом Hell.

Целый день Хэлл развлекался тем, что вещал через @navalny. Вечером того же дня аккаунт вернулся к Алексею Навальному – помогло обращение в техническую поддержку Google. Хэлл к тому времени уже давал интервью газете “Известия” и рассказывал о своих подвигах – как недавних, так и давнишних.

Блог Хэлла
“Иногда взлом происходит за один час, иногда за десять минут, а иногда и недели отнимает. Этот взлом непосредственно был очень сложным”, – сообщил Хэлл “Известиям” и добавил, что ранее уже взламывал аккаунт Навального на Gmail. Он выкачал всё содержимое почты оппозиционера и обещает опубликовать его после того, как ознакомится с ним сам.

Взлом твиттера Навального начался, как водится, со взлома почтового ящика. Захватив контроль над электронной почтой, удалось заполучить и Twitter. Поскольку Навальный не мог вернуть почту без обращения в Google, а аккаунт был (по утверждению Навального) привязан к номеру мобильного телефона, складывается впечатление, что Хэллу каким-то образом удалось преодолеть защиту двухфакторной авторизацией – ту самую привязку к телефону.

Возможно и другое объяснение произошедшего. И компьютер, и телефон Алексея Навального 11 июня 2012 года были изъяты Следственным комитетом в ходе расследования дела о беспорядках на Болотной площади. Навальный усматривает между изъятием и последовавшим через пару недель взломом связь.

Что же произошло на самом деле? За комментариями мы обратились к специалистам по компьютерной безопасности.

Александр Навалихин, исследовательский центр Positive Research

Когда используется двухфакторная аутентификация с привязкой к телефону, то получить доступ к аккаунту довольно сложно. Если, конечно, у вас в руках нет того телефона, к которому привязана учётная запись.

Можно попытаться восстановить пароль с помощью специальной формы восстановления, однако рассмотрение заявки занимает от трёх до пяти рабочих дней. Чтобы, обработав заявку, вам предоставили доступ к чужой почте, нужно собрать очень много достоверной информации (номер телефона, к которому привязан Google-аккаунт, и другие персональные данные). Однако как только отправляется заявка на восстановление, на все дополнительные почтовые ящики, связанные с аккаунтом, приходят письма с предупреждением о попытке восстановления. Плюс ко всему с помощью этих писем можно прервать процесс восстановления – достаточно просто ответить хотя бы на одно из них.

Аккаунт в Twitter также может быть привязан к телефону и почте. Поэтому если получить доступ к почте или телефону, то можно, теоретически, получить доступ и к аккаунту в Twitter.

Другой вектор атаки – для входа в почту получить доступ к компьютеру, который является доверенным (в течение тридцати дней). В этом случае нет необходимости отправлять временный код на привязанный телефон. Доступ может быть как и физическим, так и удалённым. Не стоит забывать, что многие пользователи разрешают браузерам сохранять пароли, чтобы не вводить их несколько раз в день.

Не стоит также забывать, что в крупных интернет-сервисах периодически обнаруживаются уязвимости. Поэтому этот вектор атаки тоже не стоит исключать.

Олег Шабуров, руководитель группы информационной безопасности Symantec

Взлом мог быть совершён несколькими способами, могли быть использованы:

1. Технические методы (так как то же вредоносное ПО, например Flamer, может перехватывать сообщения и передавать злоумышленникам).

2. Методы социальной инженерии (это куда более вероятно). Адресату могло прийти письмо о необходимости смены пароля. Прийти оно могло от злоумышленников с приглашением на подложный сайт. Полученные с этого сайта учётные данные и пароли могут быть использованы для получении доступа к почтовому ящику.

3. Может быть просто небрежность: оставленный незаблокированным компьютер или на секунду оставленный мобильный телефон…. Кто не воспользуется таким случаем?