Kradzież danych EA nie wymagała wiele. Wykorzystano ludzką naiwność

W sieci pojawiły się informacje na temat kradzieży danych z Electronic Arts. Nie chodziło tu o łamanie zabezpieczeń i umiejętności informatyczne. Wystarczyło sprowokować ludzi do popełnienia błędu.

Computer hacker
Computer hacker
Źródło zdjęć: © Getty Images | sestovic

Hakerzy, którzy przeprowadzili atak na Electronic Arts, podzielili się informacjami na temat tego, jak przebiegała cała akcja. Wystarczyła podstawowa wiedza, spryt i znajomość pewnych procedur. Serwis Motherboard porozmawiał z odpowiedzialnymi za kradzież danych przestępcami. Sprawcy zamieszania chętnie podzielili się sposobem, który pozwolił im na ograbienie światowego giganta.

Skradzione ciasteczka

Wszystko zaczęło się od kupionych za 10 dolarów kradzionych plików cookies. Dzięki nim hakerzy mogli zalogować się do komunikatora Slack, który używany jest przez pracowników EA do komunikacji wewnętrznej. Kolejnym krokiem było skontaktowanie się z działem IT.

Hakerzy, podszywając się pod jednego z pracowników EA, poprosili o przyznanie tokena pozwalającego na zalogowanie się do sieci firmowej. Aby uwiarygodnić całą sprawę, wymyślili historię o zgubionym telefonie, przez co pracownik, pod którego podszywali się przestępcy, miałby nie móc zalogować się w normalny sposób. Podobno sztuczka ta udała im się dwukrotnie.

Mając dostęp do sieci hakerzy mogli już "szaleć". Znaleźli oprogramowanie służące do kompilowania gier, stworzyli wirtualną maszynę, postarali się o dostęp do jeszcze jednej usługi i pobrali interesujące ich dane.

Electronic Arts potwierdziło, że właśnie w ten sposób doszło do kradzieży danych. Jak widać nawet najszczelniejsze systemy bezpieczeństwa da się obejść wykorzystując wadliwy czynnik ludzki.

Wybrane dla Ciebie
Komentarze (3)
© Polygamia
·

Pobieranie, zwielokrotnianie, przechowywanie lub jakiekolwiek inne wykorzystywanie treści dostępnych w niniejszym serwisie - bez względu na ich charakter i sposób wyrażenia (w szczególności lecz nie wyłącznie: słowne, słowno-muzyczne, muzyczne, audiowizualne, audialne, tekstowe, graficzne i zawarte w nich dane i informacje, bazy danych i zawarte w nich dane) oraz formę (np. literackie, publicystyczne, naukowe, kartograficzne, programy komputerowe, plastyczne, fotograficzne) wymaga uprzedniej i jednoznacznej zgody Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, będącej właścicielem niniejszego serwisu, bez względu na sposób ich eksploracji i wykorzystaną metodę (manualną lub zautomatyzowaną technikę, w tym z użyciem programów uczenia maszynowego lub sztucznej inteligencji). Powyższe zastrzeżenie nie dotyczy wykorzystywania jedynie w celu ułatwienia ich wyszukiwania przez wyszukiwarki internetowe oraz korzystania w ramach stosunków umownych lub dozwolonego użytku określonego przez właściwe przepisy prawa.Szczegółowa treść dotycząca niniejszego zastrzeżenia znajduje się  tutaj.