Atspėtas Donaldo Trumpo „Twitter“ slaptažodis - prireikė vos 5 bandymų ()
Patikimi amerikiečių žiniasklaidos šaltiniai – „TechCrunch“, „ArsTechnica“ ir kiti – skelbia, jog kibernetinio saugumo ekspertas iš Nyderlandų sugebėjo vos penktu bandymu atspėti JAV prezidento Donaldo Trumpo „Twitter“ paskyros slaptažodį. Maža to, teigiama, jog ta paskyra nebuvo apsaugota dviejų veiksnių autentifikavimo priemonėmis, todėl su šiuo slaptažodžiu buvo įgyta galimybė sukelti pasaulinio lygio suirutę. Tiesa, Baltieji rūmai tai neigia, o susijusios kibernetinio saugumo institucijos nekomentuoja.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
IT sistemų saugumo tyrėjas Victoras Geversas, dirbantis „GDI Foundation“ ekspertu ir vadovaujantis Olandų kibernetinio saugumo spragų atskleidimo institutui, prieigą prie D.Trumpo „Twitter“ paskyros įgijo jau nebe pirmą kartą.
Pastarąjį kartą, penktu bandymu atspėjęs slaptažodį ir nesusidūręs su jokiomis kitomis saugumą užtikrinančiomis priemonėmis, V.Geversas apie incidentą informavo US-CERT – JAV Krašto apsaugos departamento kibernetinės saugos struktūros – Kibernetinio ir infrastruktūros saugumo agentūros CISA padalinį. Ekspertas žurnalistams nurodė, kad netrukus po šio pranešimo paskyros slaptažodis buvo pakeistas.
Ir tai jau yra antras kartas, kai V.Geversas tvirtina įgijęs prieigą prie D.Trumpo „Twittter“ paskyros.
Pirmasis incidentas įvyko 2016 metais, kuomet V.Geversas su dviem kolegomis D.Trumpo „Twitter“ slaptažodį aptiko 2012 m. iš „LinkedIn“ pavogtos informacijos bazėje. Anuokart jo slaptažodis buvo „yourefired“ – frazė, kuria D.Trumpas pagarsėjo televizijos realybės šou „The Apprentice“. Paaiškėjo, kad nuo įsilaužimo į „LinkedIn“ D.Trumpas nepasirūpino to slaptažodžio pakeisti.
Prieš ketverius metus D.Geversas apie šį incidentą informavo Nyderlandų kibernetinio saugumo institucijas, kartu pateikdamas rekomendacijas, kaip D.Trumpas galėtų užtikrinti savo paskyros saugumą. Jis pasiūlė naudoti slaptažodžius su daugiau skaičių ir specialiųjų simbolių, o vienas iš jo pasiūlymų buvo „maga2020!“. V.Geversas pats nesitikėjo, kad po tiek metų vis dar bus naudojamas kito žmogaus sugalvotas slaptažodis.
Pirmasis leidinys, išplatinęs šią informaciją, yra Nyderlandų žurnalas „Vrij Nederland“.
Oficialiame „Twitter“ pareiškime įmonės atstovas spaudai Ianas Plunkettas sakė: „Nematėme jokių įrodymų, kurie patvirtintų šį teiginį, įskaitant ir šiandien Nyderlanduose publikuotą straipsnį. Proaktyviai ėmėmės saugumo užtikrinimo priemonių konkrečiai didelės svarbos, su JAV rinkimais susijusių „Twitter“ paskyrų grupei, įskaitant ir federalinės valdžios institucijų paskyras“.
Praėjusį mėnesį „Twitter“ skelbė, kad didins politinių kandidatų ir vyriausybinių institucijų paskyrų saugumą. Kaip saugumo priemonių didinimas buvo paminėtas ir raginimas, bet ne reikalavimas naudoti dviejų veiksnių autentifikavimo priemones.
Anksčiau buvo skelbiama, kad D.Trumpui tapus JAV prezidentu jo paskyrai buvo pritaikytos papildomos apsaugos priemonės, tačiau tos priemonės nebuvo konkretizuotos. Kuomet liepos mėnesį įvyko daug dėmesio patraukęs garsių asmenų „Twitter“ paskyrų vagystės skandalas, D.Trumpo paskyra nebuvo paliesta. Anuokart programišiai, gavę prieigą prie vidinių „Twitter“ administravimo įrankių, per kai kurių garsenybių paskyras skleidė melagingą informaciją turėdami tikslą pasisavinti patiklių asmenų kriptovaliutą.
JAV Baltųjų Rūmų atstovė spaudai šios žinios dar nekomentavo, tačiau jos pavaduotojas Juddas Deere'as teigė, jog ši žinia yra „visiškai neteisinga“, tačiau nekomentavo jokių klausimų, susijusių su šalies prezidento paskyrų kibernetiniu saugumu. CISA atstovas spaudai savo komentarų apie šį incidentą nepateikė.
„Neįtikėtina, kad žmogus, galintis savo žinutėmis tviteryje sukelti tarptautinius incidentus ir suirutę akcijų biržose, turi tokį paprastą slaptažodį ir nenaudoja dviejų veiksnių autentifikavimo. Turint omenyje, kad į jo paskyrą jau buvo įsilaužta 2016 metais ir jis vos prieš kelias dienas sakė, kad niekur nebuvo įsilaužta, tai yra vintažinė 2020 metų ironija“, – sakė Surėjaus universiteto (JAV) profesorius Alanas Woodwardas.
V.Geversas kibernetinio saugumo pasaulyje yra gana gerai žinomas asmuo, taip pat pagarsėjęs savo pranešimais apie saugumo incidentus, susijusius su veidų atpažinimo duomenų bazėmis, naudojamomis sekti uigūrų tautinę mažumą Kinijoje, o taip pat apie Omano akcijų biržos kibernetinio saugumo spragas.