7 lépés, hogy feltörjük valakinek a bankszámláját
7 lépés, hogy feltörjünk egy bankszámlát
A kísérlet:
Herbert Thompson* 2008-ban meg akarta mutatni a nyilvánosságnak, milyen könnyű hozzáférni valaki személyes adataihoz és bankszámlájához.
A kísérletet egy olyan személyen végezte el, akit alig ismert, egy Kim nevű lányon. Felhasználva a róla tudott ismereteit, a nevét, a származási helyét, a munkahelyét és nagyjából a korát, CSAK 7 LÉPÉS alatt hozzá tudott férni a bankszámlájához!!!
Alább olvasd el, hogyan csinálta – a Facebook előtti időkben!
1. lépés
Google keresés. Ráguglizik a nőre. Talál egy blogot és egy önéletrajzot. (Thompson “aranybányának” nevezte a blogját.) Információkat szerez a nagyszülőkről, a háziállatokról és a szülővárosáról. A legfontosabb, hogy megkapja a lány főiskolai e-mail címét és jelenlegi Gmail címét.
2. lépés
Következő állomás: Jelszó-visszaállítási funkció a bankja weboldalán. Megpróbálja visszaállítani a banki jelszavát. A bank küld egy visszaállítási linket a lány e-mail címére, amelyhez a férfi nem fér hozzá. Hozzá kell férnie a nő Gmail címéhez.
3. lépés
Gmail hozzáférés. Megpróbálja visszaállítani a Gmail jelszavát, de a Gmail ezt a főiskolai e-mail címére küldi. A Gmail megmondja ennek a címnek a domainjét (legalábbis 2008-ban, amikor Thompson a kísérleteket végezte), így tudta, hogy hozzáférést kell szereznie ehhez a konkrét címhez.
4. lépés
Főiskolai e-mail fiók oldal. Thompson ezen az oldalon rákattint a “jelszó elfelejtése” linkre, és néhány kérdéssel találja magát szemben. Lakcím, otthoni irányítószám és otthoni ország? Nem probléma, Thompson mindezt ugyanabból az önéletrajzból tudja. Ugyanaz az önéletrajz, amit a korábban elvégzett egyszerű Google-kereséssel talált. Aztán jött egy bökkenő: a főiskola a születésnapját kérte. De csak nagyjából tudta a korát, tényleges születési dátumot nem.
5. lépés
Az állami közlekedési bíróság honlapja. Úgy tűnik, hogy név szerint lehet keresni a szabálysértéseket és a bírósági megjelenéseket! És az ilyen nyilvántartások tartalmazzák a születési dátumot. (A Facebook ezt az adatot akkor is nagyon könnyen megszerezhetővé teszi, ha az emberek nem jegyzik fel a születési évüket… Emlékezz, Thompson nagyjából tudta, hány éves volt Kim.) De a Közlekedési Minisztériummal nem volt szerencséje.
6. lépés
Thompson visszamegy a blogra, és rákeres a “születésnap”-ra. Kap egy dátumot, de évszámot nem.
7. lépés
Végül Thompson újra megpróbálja a főiskolai jelszó visszaállítását. Kitölti a születési dátumát, és egyszerűen kitalálja az évet. Rosszul találja el. De az oldal öt esélyt ad neki, és megmondja, melyik mezőben van a hiba. Így folytatja a találgatást. Öt találgatás alatt megkapja a hozzáférést. Megváltoztatja a lány főiskolai jelszavát. Ez hozzáférést biztosít neki a Gmail jelszó-visszaállítási e-mailjéhez. A Google néhány személyes adatot kér, amelyeket a lány blogjából könnyen meg tud szerezni (pl. az apja középső nevét.) Thompson megváltoztatja a Gmail jelszót, és ez hozzáférést ad neki a bankszámla jelszó-visszaállítási e-mailhez. Itt is személyes adatokat kérnek tőle, de semmi olyat, amit ne tudott volna Kim blogjából megtudni (pl. háziállat neve és telefonszáma.) Visszaállítja a banki jelszót, és bingó, azonnali hozzáférése van a lány összes nyilvántartásához és pénzéhez.