Трој Хант, позната личност у области рачунарске безбедности, аутор курсева о информационој безбедности, креатор сервиса за проверу компромитованих лозинки „Да ли сам био лажиран?“ и регионални директор Мајкрософта, открио је информацију о цурењу корисничке базе сопствене мејлинг листе. Историја показује како чак и признати стручњаци за компјутерску безбедност могу постати жртве типичног пхисхинг-а под одређеним околностима.
Трој је примио е-пошту од Маилцхимп-а у којој га је упозорио да је његова мејлинг листа суспендована и да је потребно извршити одређене провере. Трој је кликнуо на везу у е-поруци, унео детаље свог Маилцхимп налога на страницу која се отворила, потврдио захтев за аутентификацију у два фактора и страница се замрзнула... а нападачи су добили приступ бази корисника на његовој мејлинг листи и преузели информације о имејл и ИП адреси за 16627 претплатника. Важно је напоменути да је преузимање обухватило 7535 адреса корисника који су се претходно одјавили са мејлинг листе, али их је сервис Маилцхимп упркос одјави сачувао и уврстио у извезене податке.
Трој није прећутао своју грешку и детаљно је анализирао инцидент на свом блогу, а такође је додао информације о цурењу на свој сервис хавеибеенпвнед.цом. Трој верује да због комбинације фактора није сумњао у фаул игру. У тренутку пријема писма, Троја је путовала, неприлагођена промени времена и била је веома уморна. Писмо је прочитано баш у тренутку када је будност била најнижа.
Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email. Затем, когда письмо было повторно открыто утром на компьютере, Трой не стал перепроверять параметры и не обратил внимание на то, что письмо отправлено с подозрительного адреса «hr@group-f.be».
Текст је стилизован тако да изгледа као стандардна Маилцхимп порука и упозорава на ограничење слања билтена због пријема жалбе на нежељену пошту. Информације су презентоване тек толико да буду узнемирујуће, али не превише узнемирујуће. У писму се предлаже да се провери недавно послата е-порука и да се предузму кораци за њихово деблокирање. Веза је отворила сајт маилцхимп-ссо.цом уместо маилцхимп.цом. Менаџер лозинки 1Пассворд није аутоматски попунио формулар за пријаву, али је и то игнорисано. Након што је образац за аутентификацију замрзнут, Трој се пробудио и поново се пријавио на прави Маилцхимп сајт, али је било прекасно – нападачи су искористили ухваћене акредитиве да би добили АПИ приступни токен и извезли информације.
Извор: опеннет.ру
